3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / 3 / Заняття 3

Заняття №3

СТВОРЕННЯ ОБ’ЄКТІВ В ACTIVE DIRECTORY DOMAIN

SERVICES

Мета роботи: дослідження механізмів створення облікових записів користувачів, комп’ютерів та груп у Active Directory Domain Services за допомогою графічного інтерфейсу.

За результатами роботи студенти повинні понімати механізми створення об’єктів в Active Directory Domain Services, вміти створювати об’єкти за допомогою графічного інтерфейсу, вміти здійснювати пошук об’єктів у Active

Directory Domain Services.

ОСНОВНІ ТЕОРЕТИЧНІ ВІДОМОСТІ

Роль Active Directory як служби каталогів полягає в підтримці інформації про ресурси підприємства, включаючи користувачів, групи і комп'ютери. З метою спрощення функцій управління і відображення, тобто для спрощення пошуку об'єктів, ресурси розподілені за допомогою підрозділів OU (Organizational Unit). На цьому занятті ми вивчимо, як створювати підрозділи, користувачів, групи і комп'ютери. Ми також розглянемо методи пошуку і локалізації необхідних об'єктів за допомогою графічного інтерфейсу.

1.1 Створення підрозділів

Підрозділи (Organizational Unit, OU) в Active Directory представляють собою адміністративні контейнери, які служать для групування об'єктів до загальних вимог адміністрування, конфігурації або видимості. Сенс сказаного стане зрозумілим при вивченні дизайну та управління OU. А зараз просто потрібно знати, що підрозділи (OU) забезпечують адміністративну ієрархію, аналогічну ієрархії на диску: підрозділи являють собою колекції об'єктів, які призначені для адміністрування. В даному випадку робиться акцент на слові «адміністрування», оскільки підрозділи не використовуються для призначення дозволів доступу до ресурсів - для цього існують групи. Користувачі

2

поміщаються в групи, яким призначаються дозволи доступу до ресурсів. Підрозділи ж (OU) представляють собою адміністративні контейнери, усередині яких адміністратори управляють цими користувачами і групами. Далі описано процес створення підрозділу.

1.Відкрийте оснастку Active Diгесtогу - користувачі і комп'ютери (Active

Directory Users and Computers).

2.Клацніть правою кнопкою миші вузол домену або підрозділу, до якого хочете додати новий підрозділ, виберіть опцію Створити (New) і клацніть команду Підрозділ (Organizational Unit).

3.Введіть ім'я підрозділи у відповідності з правилами іменування вашої організації.

4.Встановіть прапорець "Захистити контейнер від випадкового видалення" (Protect Container From Accidental Deletion). Цей параметр ми розглянемо докладніше далі.

5.Клацніть ОК. Підрозділи мають і інші властивості, які можна конфігурувати; визначити їх можна після створення об'єкту.

6.Клацніть підрозділ правою кнопкою миші і застосуйте команду Властивості (Properties).

Дотримуйтесь правил іменування, а також інші стандарти і процедури вашої організації.

У полі Опис (Description) можна вказати призначення підрозділу.

Якщо підрозділ представляє фізичний простір, наприклад офіс, у властивостях можна вказати поштову адресу підрозділу.

Примітка: Вкладку Управляється (Managed Ву) можна застосувати для прив'язки до користувача або групи, яка несе відповідальність за підрозділ. Клацніть кнопку Змінити (Change) під полем Ім'я (Name). Відкриється діалогове вікно Вибір: "Користувач", "Контакт" або "Група" (Select User, Contact, or Group); за замовчуванням воно не виконує пошук груп. Для пошуку потрібно спочатку натиснути кнопку Типи об'єктів (Object Types) і вибрати тип об'єктів Групи (Groups). Пізніше на цьому занятті ми розглянемо діалогове вікно Вибір: "Користувач", "Контакт" або «Група». Інша контактна інформація на вкладці Управляється (Managed Ву) заповнюється даними облікового запису, зазначеного в полі Ім'я (Name). Вкладка Управляється використовується виключно для контактної інформації. Зазначені користувачі

3

та групи не отримують дозволу або доступ до підрозділу. Клацніть ОК.

В адміністративних засобах, починаючи з Windows Server 2008, з'явилася нова опція - Захистити контейнер від випадкового видалення (Protect Container From Accidental Deletion). Вона передбачає для підрозділу (OU) можливість використовувати перемикач безпеки, що дозволяє уникнути випадкового видалення OU. У підрозділ додаються два дозволи: Evеrуоnе :: Deny :: Delete та Everyone :: Deny :: Delete Subtree. Тому користувачі і навіть адміністратори не можуть випадково видалити підрозділ і його вміст. Настійно рекомендується включати цей захист для всіх нових підрозділів. У Windows Server 2012 ця опція вмокнута за замовченням.

Для того щоб все ж видалити підрозділ, спочатку слід відключити перемикач безпеки. Щоб видалити захищений підрозділ, виконайте такі дії.

1.В оснащенні Active Directory - користувачі і комп'ютери (Active Directory Users and Соmрutеrs) клацніть меню Вид (View) і виберіть команду Додаткові компоненти (Advanced Features).

2.Клацніть підрозділ правою кнопкою миші і застосуйте команду Властивості (Properties).

3.Перейдіть на вкладку Об'єкт (Object).

Якщо вкладка Об'єкт не відображається, значить, ви не включили додаткові компоненти в кроці 1.

4.Скиньте прапорець Захистити контейнер від випадкового видалення

(Protect Container From Accidental Deletion).

5.Клацніть ОК.

6.Клацніть підрозділ правою кнопкою миші і застосуйте команду Видалити (Delete).

7.Вам буде запропоновано підтвердити видалення OU. Клацніть кнопку Так (Yes).

8.Якщо підрозділ містить інші об'єкти, в діалоговому вікні Підтвердити видалення піддереві (Соnfirm Subtree Deletion) вам буде запропоновано підтвердити видалення підрозділу і всіх містяться в ньому об'єктів. Клацніть кнопку Так (Yes).

4

1.2 Створення об'єкта користувача

Щоб у Active Directory створити нового користувача, виконайте такі дії.

1.Відкрийте оснастку Active Directory – користувачі і комп'ютери (Active

Directory Users And Computers).

2.У дереві консолі розгорніть вузол, який представляє ваш домен (наприклад, UIB.com), і знайдіть підрозділ або контейнер (наприклад, Users), в якому хочете створити обліковий запис користувача.

3.Клацніть підрозділ або контейнер правою кнопкою миші, виберіть опцію Створити (New) і застосуйте команду Користувач (User).

Відкриється діалогове вікно Новий об'єкт - Користувач (New Object User), представлене на рис. 1.

Рисунок 1

4.У поле Ім'я (First Nаmе) введіть ім'я користувача, в поле Ініціали (Initials) - його ініціали, а в поле Прізвище (Last Nаmе) - прізвище.

5.Поле Повне ім'я (Full Nаmе) заповнюється автоматично. При необхідності ви можете внести зміни. Поле Повне ім'я використовується для створення декількох атрибутів об'єкта користувача, включаючи основне ім'я CN (Comon Name), а також для відображення властивостей імені. Ім'я CN користувача відображається в панелі відомостей оснастки. Воно повинно бути

5

унікальним в контейнері або підрозділі. Тому при створенні об'єкта користувача для особи з тим же ім'ям, що і у існуючого користувача в тому ж підрозділі, вам буде потрібно ввести унікальне ім'я в поле Повне ім'я (Full

Name).

6.У поле Ім'я входу користувача (User Logon Name) введіть ім'я входу користувача і в списку виберіть суфікс основного імені користувача UPN (User Principle Name), який буде прикріплений до імені входу користувача з символом @.

Імена користувачів в Active Directory можуть містити деякі особливі символи (включаючи точки, дефіси та апострофи), що дозволяє генерувати точні імена користувачів, наприклад О'Хара або Сміт-Бейтс. Тим не менше, певні програми можуть мати інші обмеження, тому рекомендується використовувати тільки стандартні літери і цифри, поки всі програми на підприємстві не будуть ретельно протестовані на сумісність з особливими символами в іменах входу.

Списком доступних суфіксів UPN можна керувати за допомогою оснастки Active Directory - домени та довіра (Active Directory Domains And Trusts). Клацніть правою кнопкою миші корінь оснащення Active Directory - домени та довіра, застосуйте команду Властивості (Properties) і на вкладці Суфікси UPN (UPN Suffixes) додайте або видаліть суфікси. Ім'я DNS домену Active Directory завжди буде доступно в якості суфікса і не може бути видалено.

7.У поле Ім'я входу користувача (перед-Windows 2000) (User Logon Name (Pre¬Windows 2000)) оснащення Active Directory - користувачі і комп'ютери (Active Directory Users And Computers) введіть ім'я входу для систем, що передували Windows 2000, яке часто називається низькорівневим ім'ям входу.

8.Клацніть кнопку Далі (Next).

9.Введіть початковий пароль користувача в поля Пароль (Password) і

Підтвердження (Confirm Password).

10.Встановіть прапорець Вимагати зміну пароля при наступному вході в систему (User Must Change Password At Next Logon).

Рекомендується завжди встановлювати цей прапорець, щоб користувач міг створити новий пароль, невідомий персоналу IT. Важливо пам’ятати, що

6

відповідні члени групи підтримки завжди можуть скинути пароль користувача, щоб, наприклад, увійти в систему як користувач або отримати доступ до ресурсів користувача. Але тільки користувачі повинні знати свої щоденні паролі.

11.Клацніть кнопку Далі (Next).

12.Перегляньте введені параметри і натисніть кнопку Готово (Finish). Інтерфейс Новий об'єкт - Користувач (New Object - User) дозволяє

конфігурувати лише деякі властивості облікового запису, наприклад ім'я та пароль. Але об'єкт користувача в Active Directory підтримує десятки додаткових властивостей - конфігурувати їх можна після створення об'єкту.

13.Клацніть правою кнопкою миші створений об'єкт користувача та застосуйте команду Властивості (Properties).

14.Отконфігуруйте властивості користувача.

Дотримуйтесь правила іменування та інші стандарти вашої організації. 15. Клацніть ОК.

1.3 Створення об'єкта групи

Група - це важливий клас об'єктів, оскільки вони служать для єдиного управління колекціями користувачів, комп'ютерів та інших груп. Найпростіший приклад застосування групи - надання дозволів доступу до спільної папки. Наприклад, якщо групі надати доступ до читання папки, всі члени групи зможуть читати вміст цієї папки. Вам не знадобиться надавати доступ читання безпосередньо для кожного окремого члена групи. Для управління доступом найпростіше додавати користувачів у групи або видаляти їх. Щоб створити групи, виконайте такі дії.

1.Відкрийте оснастку Active Directory - користувачі і комп'ютери (Active

Directory Users And Computers).

2.У дереві консолі розгорніть вузол, який представляє ваш домен (наприклад, UIB.com) і знайдіть підрозділ або контейнер (наприклад, Users), в якому хочете створити групу.

3.Клацніть правою кнопкою миші підрозділ або контейнер, виберіть опцію Створити (New) і застосуйте команду Група (Group). Відкриється діалогове вікно Новий об'єкт - Група (New Object - Group), показане на рис. 2.

7

Рисунок 2

У поле Ім'я групи (Group Name) введіть ім'я нової групи.

Більшість організацій використовують угоди про іменуванні груп. Дотримуйтесь цих інструкцій і стандартів вашої організації.

За замовчуванням введене ім'я також вводиться як ім'я передWindows 2000 нової групи. Настійно рекомендується, щоб ці два імені були ідентичні, тому не міняйте ім'я в поле Ім'я групи (перед-Windows 2000) (Group name (Pre-Windows 2000)).

5.Виберіть тип групи.

-Групі безпеки (Security) можна надавати дозволи доступу до ресурсів. Її також можна використовувати для розповсюдження електронної пошти.

-Група розповсюдження (Distribution) - це група розповсюдження електронної пошти, якою не можна надавати дозволи доступу до ресурсів; вона використовується тільки для розповсюдження електронної пошти.

6.Виберіть область дії групи (Group Scope).

-Глобальна (Global) група використовується для ідентифікації користувачів на основі такого критерію, як робоча функція або, скажімо, розташування.

8

-Локальна група в домені (Domain Local) містить користувачів і групи з ідентичними потребами в доступі до ресурсів, наприклад всіх користувачів, яким необхідно модифікувати звіт проекту.

-Універсальна (Universal) група включає користувачів і групи з безлічі доменів.

Відзначимо, що якщо домен, де створюється об'єкт групи, працює на змішаному або проміжному функціональному рівні, вибрати можна буде тільки області дії Глобальна (Global) і Локальна в домені (Domain Local).

7. Клацніть ОК.

Об'єкти груп мають безліч властивостей, які можна конфігурувати. Призначити їх можна після створення об'єкту.

8.Клацніть групу правою кнопкою миші і застосуйте команду Властивості (Properties).

9.Задайте властивості для групи.

Дотримуйтесь угоди про іменування й інші стандарти вашої організації. На вкладках Члени групи (Меmbеrs) і Член груп (Member Of) зазначено,

хто належить до групи і в які інші групи входить сама ця група.

Уполі Опис (Description) групи можна ввести відомості про її призначення і контактну інформацію осіб, які приймають рішення про членство

вгрупі.

Уполе Нотатки (Notes) групи можна вказати додаткові відомості про неї. Вкладку Управляється (Managed Ву) можна використовувати для

прив'язки до користувача або групі, яка управляє даною групою. Клацніть кнопку Змінити (Change) під полем Ім'я (Name). Для пошуку групи потрібно спочатку натиснути кнопку Типи об'єктів (Object Types) і вибрати Групи (Groups). Діалогове вікно Вибір: "Користувач", "Контакт" або "Група" (Select

User, Contact, or Group) описано далі.

Інша контактна інформація на вкладі Управляється (Managed Ву) заповнюється даними облікового запису, зазначеного в полі Ім'я (Name). Вкладка Управляється, як правило, використовується для зберігання контактної інформації, щоб користувач, який бажає приєднатися до групи, міг звернутися до особи, відповідальної за авторизацію членів групи. Однак якщо встановити прапорець Менеджер може змінювати членів групи (Manager Can Update Membership List), обліковий запис, зазначений в полі Ім'я (Name), отримає

10

4.У полі Ім'я комп'ютера (Computer Name) введіть ім'я комп'ютера. Введені дані автоматично заповнять полі Ім'я комп'ютера (пред Windows 2000) (Computer Name (Pre-Windows 2000)). Не міняйте ім'я в цьому полі.

5.Інформація, зазначена в полі Ім'я користувача або групи (User or Group), використовується для приєднання комп'ютеру до домену. Клацніть кнопку Змінити (Change), щоб вибрати ще одну групу або користувача. Зазвичай прийнято вибирати групу, що представляє команду розгортання, підтримки систем або довідки. Ви також можете вказати користувача, для якого призначений комп'ютер.

6.Не встановлюйте прапорець Призначити обліковому запису статус перед Windows 2000 (Аssign This Computer Ассоunt As А Рге-Windows 2000

Computer), якщо ця обліковий запис не призначена для комп'ютера Мiсrоsоft

Windows NT 4.0.

7.Клацніть ОК.

Багато властивостей об'єктів комп'ютерів підлягають конфігуруванню. Їх можна призначити після створення об'єкта.

8.Клацніть комп'ютер правою кнопкою миші і застосуйте команду Властивості (Properties).

9.Вкажіть властивості комп'ютера.

Дотримуйтесь угоди про іменування й інші стандарти вашої організації. У полі Опис (Dеsсгiрtiоn) комп'ютера можна вказати особу, для якого

призначений комп'ютер, його роль (наприклад, комп'ютер у навчальному кабінеті) і іншу інформацію. Оскільки опис відображається в панелі відомостей оснасток Active Directory - користувачі і комп'ютери (Active Directory Users and Computers), в це поле слід ввести дані, які необхідно знати про комп'ютер.

Існує кілька властивостей для опису комп'ютера, включаючи DNS-ім'я (DNS Name), Типи DC (DC Туре), Сайт (Site), Ім'я операційної системи

(Орегаting System Name), Версія (Version) і Пакет оновлень (Service Pack). Ці властивості будуть автоматично заповнені при приєднанні комп'ютера до домену.

Вкладку Управляється (Managed Ву) можна застосувати для прив'язки користувача або групи, відповідальної за комп'ютер. Клацніть кнопку Змінити (Сhаngе) під полем Ім'я (Name). Для пошуку групи потрібно спочатку натиснути кнопку Типи об'єктів (Object Types) і вибрати Групи (Groups).