3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / 2 / 002-ПЗ-ОСНАСТКИ ACTIVE DIRECTORY

Настройка оснасток

Active Directory

Учебные Вопросы:

1.Создание настраиваемой консоли ММС

2.Управление оснастками в консоли ММС

3.Подготовка консоли к распространению среди пользователей

ОСНАСТКИ ACTIVE DIRECTORY

Административные инструменты или оснастки Active Directory обеспечивают функциональность, необходимую для поддержки службы каталогов. На этом занятии мы рассмотрим самые важные оснастки Active Directory. Мы также обсудим способы их эффективного использования, возможность применения альтернативных учетных данных и создания настраиваемых консолей, которые можно распространять среди администраторов в организации

Консоль управления Мiсrоsоft

Административные инструменты Windows совместно используют общую структуру Мiсrоsоft Management Console (ММС).

Консоль ММС (рис. 1) отображает инструменты в настраиваемом окне с деревом консоли в левой панели (аналогичном дереву проводника Windows) и центральной панелью сведений. Панель Действия (Actions) справа выводит команды, которые в ММС называются действиями.

Для управления отображением левой и правой панелей служат кнопки Отображение/Скрытие дерева консоли (Show /Hide Console Тrее) и Отображение/Скрытие панели действий (Show/Hide Action Раnel) или команда Настроить (Customize) в меню Вид

(View).

Административные инструменты, называемые оснастками используют дерево консоли и панель сведений консоли для обеспечения административных функций. Консоль ММС - это что-то вроде поясного ремня монтажника, к которому можно прикрепить один или несколько инструментов (оснасток). Большинство средств в папке Администрирование (Administrative Tools) запускаются в виде одной консоли с единственной оснасткой, как, например, Просмотр событий (Event Viewer), Службы (Services) и Планировщик заданий (Task Scheduler). Другие инструменты, включая

Управление компьютером (Computer Management), открываются в виде консолей со множеством оснасток - некоторые из них могут запускаться как независимые консоли. Например, консоль Управление компьютером содержит оснастки Просмотр событий

(Event Viewer), Службы (Services) и Планировщик заданий (Task Scheduler).

При администрировании Windows с помощью оснасток вы будете выполнять команды, которые в ММС называются действиями и отображаются в панели Действия (Actions) в правой части консоли. Большинство опытных администраторов предпочитают выполнять действия в оснастке ММС с помощью контекстного меню. Если вы используете только контекстное меню, можете отключить панель Действия, чтобы область для отображения информации в панели сведений была больше.

Существует два типа консолей ММС: предварительно отконфигурированные и настраиваемые. Предварительно отконфигурированные консоли устанавливаются автоматически при добавлении роли или компонента для администрирования этой роли или компонента. Они функционируют в пользовательском режиме и их нельзя модифицировать или сохранять, зато пользователь может создавать настраиваемые консоли с теми же инструментами и функциями.

Средства администрирования Active Directory

В большинстве случаев администрирование Active Directory осуществляется с помощью следующих оснасток и консолей.

Active Directory - пользователи и компьютеры (Active Directory Users and

Computers) Управление ежедневно используемыми ресурсами, включая пользователей, группы, компьютеры, принтеры и общие папки. Эта оснастка чаще всего применяется администраторами Active Diгесtогу.

Active Directory - сайты и службы (Active Directory Sites and Services)

Управление репликацией, сетевой топологией и соответствующими службами.

Active Directory - домены и доверие (Active Directory Domains and Trusts)

Настройка и поддержка доверительных отношений, а также функциональных уровней домена и леса.

Схема Active Directory (Active Directory Schema) Анализ и модификация

определения классов объектов и атрибутов. Эта схема - проектная модель Active Directory. Она редко просматривается и еще реже модифицируется. Поэтому такая оснастка не устанавливается по умолчанию.

Оснастки и консоли Active Directory устанавливаются при добавлении роли AD DS на сервер. При установке роли AD DS в Диспетчер сервера (Server Manager) добавляются два административных средства Active Directory: оснастка Active Directory - пользователи и компьютеры (Active Directory Users and Computers) и оснастка Active Ditectory - сайты и службы (Active Dirctory Sites and Services). Тем не менее, для администрирования Active

Directory из системы, не служащей контроллером домена, необходимо установить средства удаленного администрирования сервера RSAT, для чего в Диспетчере сервера (Server Manager) системы Windows Server нужно выбрать узел Компоненты (Features).

Расположение административных инструментов Active Directory

В Диспетчере сервера (Server Manager) находятся две оснастки Active Directory. Чтобы открыть их, нужно развернуть узел Роли (Roles), а затем узел Доменные службы

Active Directory (Active Directory Domain Services). Все остальные административные средства находятся в папке Администрирование (Adтinistrative Tools), которая расположена в Панели управления (Control Panel). Папка Администрирование отображается в классическом виде панели управления. В представлении домашней страницы панели управления административные инструменты находятся в категории Система и ее обслуживание (System And Maintenance).

Добавление административных инструментов в меню Пуск

По умолчанию административные средства не включены в меню Пуск (Start) клиентов Windows Vista. Доступ к административным инструментам можно упростить, добавив их в меню Пуск

1.Щелкните правой кнопкой мыши кнопку Пуск (Start) и примените команду Свойства (Properties).

2.Щелкните кнопку Настроить (Customize).

3.Если вы используете меню Пуск по умолчанию, найдите папку Администрирование (System Administration Tools) и выберите опцию Отображать в меню "Все программы" и "Пуск" (Display Оn The All Programs Меnu And Тhе Start Меnu) или Отображать в меню "Все программы" (Display Оn Тhе Аll Programs Меnu). Если вы используете классическое меню Пуск, выберите опцию Отображать меню "Администрирование" (Display Administrative Tools).

4.Дважды щелкните ОК.

Запуск административных средств с использованием альтернативных учетных данных

Многие администраторы входят на свои компьютеры с использованием административных учетных данных. Это небезопасно, поскольку административная учетная запись имеет более высокий уровень привилегий и прав сетевого доступа, чем стандартная пользовательская учетная запись. Поэтому вредоносные программы, которые запускаются с административными учетными данными, могут принести значительный ущерб. Чтобы такие проблемы не возникали, не входите в систему как администратор. Вместо этого входите как стандартный пользователь и применяйте функцию Запуск от имени администратора (Run As Administrator) для административных инструментов, чтобы обеспечить безопасность административной учетной записи.

1.Щелкните правой кнопкой мыши значок запускаемого апплета в панели управления и примените команду Запуск от имени администратора (Run As Administrator). Если эта команда не отображается, попробуйте щелкнуть правой кнопкой мыши при нажатой клавише Shift.

Откроется диалоговое окно Контроль учетных записей пользователей (User

Account Control).

2.Введите имя и пароль административной учетной записи.

3.Щелкните ОК.

Если вы регулярно запускаете приложения от имени администратора, создайте новый ярлык для команды Запуск от имени администратора (Run As Administrator). Создайте ярлык и откройте диалоговое окно Свойства (Рproperties) этого ярлыка. Щелкните кнопку Дополнительно (Advanced) и установите флажок Запуск от имени администратора (Run As Administrator). При щелчке на этом ярлыке откроется диалоговое окно контроля учетных записей пользователей.

Создание настраиваемой консоли с оснастками Active Directory

Систему Windows проще администрировать, когда все необходимые инструменты находятся в одном месте, где их можно настраивать в соответствии с требованиями. Для этого лучше создать настраиваемую административную консоль ММС, к которой, как к поясному ремню монтажника, и будут крепиться инструменты. Настраиваемая консоль ММС обеспечивает такие возможности:

добавить множество оснасток, чтобы не переключаться между консолями при выполнении заданий и запускать лишь одну консоль от имени администратора;

сохранить консоль для постоянного использования;

распространить консоль среди других администраторов;

централизовать консоли в общем ресурсе для унифицированного настраиваемого

администрирования.

Чтобы создать настраиваемую консоль ММС, откройте пустую консоль ММС. для этого откройте меню Пуск (Start), в поле Начать поиск (Search) введите команду mmc.ехе и нажмите клавишу Enter. С помощью команды Добавить или удалить оснастку (Add/Remove Snap-in) в меню Консоль (File) можно добавлять оснастки в консоль, удалять их, изменять их порядок и управлять ими.

Сохранение и распространение настраиваемой консоли

Если вы планируете распространить консоль, рекомендуется сохранить ее в пользовательском режиме. Чтобы изменить режим консоли, в меню Консоль (File) щелкните Параметры (Options). По умолчанию новые консоли сохраняются в авторском режиме, позволяющем добавлять и удалять оснастки, просматривать все секции дерева консоли и сохранять настройки. Пользовательский режим ограничивает функциональность консоли, чтобы ее нельзя было изменять. Существует три типа пользовательского режима - они описаны в табл. 2-1. Режим Пользовательский - полный доступ (User Mode - Full Асcess) часто применяется для консолей опытными администраторами, которые выполняют свою работу, широко используя оснастки консоли. Режим Пользовательский - ограниченный доступ (User Mode - Lil1lited Access) с множеством окон или с одним окном - это режим с ограниченной функциональностью, поэтому он применяется для консолей администраторами с ограниченным набором задач.

Когда консоль больше не хранится в авторском режиме, вы как автор консоли можете внести изменения, щелкнув сохраненную консоль правой кнопкой мыши и применив команду Автор (Author).

Консоли сохраняются с файловым расширением .msc, по умолчанию в папке Administrative Tools, но на самом деле это не папка, а апплет панели управления. Если сказать точнее, сохраняются консоли в папке главного меню (Start) профиля пользователя

%userpro%\АррDаtа\Rоаmiпg\Мiсrоsоft\ Windows\StartMenu.

Указанная папка защищена, так что только ваша учетная запись имеет доступ к консоли. Лучше всего входить на компьютер с использованием учетной записи без привилегий, а затем запускать административные инструменты, включая настраиваемую консоль, с альтернативными учетными данными, обеспечивающими достаточные права для задач администрирования. Но из-за участия двух учетных записей в работе при сохранении консоли в подпапке главного меню пользовательского профиля одной учетной записи потребуется дополнительная навигация, что может привести к ошибкам отказа в доступе.

Сохраните свою консоль в папке, доступ к которой можно получить с пользовательскими или административными учетными данными. Рекомендуется сохранять консоли в общей сетевой папке, чтобы получать к ним доступ с других компьютеров. Как вариант можно открыть доступ к папке для других администраторов, создав, таким образом, централизованное хранилище настраиваемых консолей. Консоли также можно сохранять на таком переносном устройстве, как USВ-диск, а также пересылать как вложения электронной почты.

Важно не забывать, что консоли, по сути, - это набор инструкций, которые интерпретируются программой ттс.ехе. Эти инструкции указывают добавляeмыe оснастки и компьютеры, управление которыми осуществляется с помощью этих оснасток. Консоли не содержат сами оснастки. Поэтому консоль не будет функционировать, если предусмотренная в ней оснастка не установлена. Следует не забывать установить соответствующие оснастки из набора средств RSAT в системах, где будет использоваться консоль.

Контрольный вопрос

 Опишите разницу между сохранением консоли в пользовательском и авторском режиме.

Ответ на контрольный вопрос

 Авторский режим позволяет пользователю добавлять и удалять оснастки и настраивать консоль. Пользовательский - запрещает пользователям изменять консоль.

ПРАКТИЧЕСКИЕ ЗАДАНИЯ. СОЗДАНИЕ НАСТРАИВАЕМОЙ КОНСОЛИ ММС И УПРАВЛЕНИЕ ЕЮ

На этом практическом занятии вы создадите настраиваемую консоль ММС. Для этого вы добавите оснастки, удалите некоторые из них и измените их порядок. Затем вы подготовите консоль для распространения среди других администраторов.

Упражнение 1. Создание настраиваемой консоли ММС

В этом упражнении вы создадите настраиваемую консоль ММС с оснастками Active Diгесtогу - пользователи и компьютеры (Active Diгесtогу Usегs and Computers), Схема Active Diгесtогу (Active Diгесtогу Schema) и Управление компьютером (Computer Management). Эти инструменты удобны для администрирования Active Directory и контроллеров доменов.

1.Войдите на машину SERVER01 как Администратор (Аdmiпistгаtог).

2.Щелкните кнопку Пуск (Start), в поле Начать поиск (Start Sеагсh) введите команду mmc.ехе и нажмите клавишу Еntеr.

Откроется пустая консоль mmс. По умолчанию новое окно консоли не развернуто внутри mmс. Разверните его, чтобы использовать преимущества полного размера окна приложения.

3.В меню Консоль (File) выберите команду Добавить или удалить оснастку

(Add/Remove Snap-in).

Откроется диалоговое окно Добавление и удаление оснастки (Add or Remove Snapins), показанное на рис. 2.

Если оснастки не отображаются в списке справа, проверьте, установлен ли на машине набор средств RSAT

4.В диалоговом окне Добавление и удаление оснастки (Add оr Remove Snap-ins) в списке Доступные оснастки (Available Snap-ins) выберите Active Directoгy - пользователи и компьютеры (Active Diгесtогу Users and Computers).

5.Щелкните кнопку Добавить (Add), чтобы добавить оснастку в список Выбранные оснастки (Selected Snap-ins). Обратите внимание, что оснастка Схема Active Directory (Active Directory Schema) недоступна. Она устанавливается вместе с ролью Доменные службы Active Directory (Active Directory Domain Services) с набором средств RSAТ, но не регистрируется и не отображается.

6.Щелкните ОК, чтобы закрыть диалоговое окно добавления и удаления оснасток.

7.Щелкните кнопку Пуск (Start). В поле Начать поиск (Start Search) введите команду cтd.exe.

8.В окно командной строки введите команду rеgsvrЗ2.ехе schттgтt.dll.

Эта команда регистрирует динамически подключаемую библиотеку

DLL (Dynamic Link Library) оснастки Схема Active Directory (Active Directory Schema). Данную операцию следует выполнить в системе один раз перед добавлением этой оснастки в консоль.

9.Появится строка с информацией об успешной регистрации. Щелкните ОК.

10.Вернитесь к настраиваемой консоли ММС и повторите шаги 2-6, чтобы добавить оснастку Схема Active Directory (Active Directory Schema).

11.В меню Консоль (File) выберите команду Добавить или удалить оснастку

(Add or Remove Snap-in).

12.В диалоговом окне Добавление и удаление оснастки (Add оr Remove Snap-ins) выберите в списке доступных оснасток Управление компьютером (Соmputer Management).

13.Щелкните кнопку Добавить (Add), чтобы добавить оснастку в список Выбранные оснастки (Selected Snap-ins).

Если оснастка поддерживает удаленное администрирование, вам будет предложено выбрать компьютер, которым вы хотите управлять (рис. 3).

Для управления компьютером, на котором запускается консоль, выберите опцию Локальным компьютером (Local Computer). Этот не означает, что управлять посредством консоли можно будет лишь тем компьютером, на котором она была создана. Если запустить эту консоль с другого компьютера, она будет управлять им.

Чтобы указать другой конкретный компьютер, которым должна управлять эта оснастка, выберите опцию Другим компьютером (Another Соmputer). Затем введите имя компьютера или щелкните кнопку Обзор

(Browse), чтобы указать компьютер.

14.Выберите опцию управления другим компьютером и введите имя компьютера - SERVER01.

15.Щелкните кнопку Готово (Finish).

16.Щелкните ОК, чтобы закрыть диалоговое окно добавления и удаления оснасток.

17.В меню Консоль (File) выберите команду Сохранить (Save) и сохраните консоль под именем MyConsole.msc на рабочем столе. Закройте консоль.

Упражнение 2. Добавление оснастки в консоль ММС

В этом упражнении вы добавите оснастку Просмотр событий (Event Viewer) в консоль, созданную в упражнении 1. Эту оснастку удобно применять для отслеживания операций на контроллерах домена.

1. Откройте консоль My Console.msc.

Если в упражнении 1 вы сохранили консоль не на рабочем столе, а сохранили ее в папке по умолчанию, то можете найти ее в папке Главное меню\Программы\Администрирование (Start\All Programs\AdministrativeTools).

2.В меню Консоль (File) выберите команду Добавить или удалить оснастку

(Add/Remove Snap-in).

3.В диалоговом окне Добавление и удаление оснастки (Add ог Remove Snapins) выберите оснастку Просмотр событий (Event Viewer).

4.Щелкните кнопку Добавить (Add), чтобы добавить оснастку в список

выбранных оснасток.

Вам будет предложено выбрать компьютер для управления.

5.Выберите опцию Другим компьютером (Another Computer) и введите имя компьютера - SERVER01.

6.Щелкните ОК.

7.Щелкните ОК, чтобы закрыть диалоговое окно добавления и удаления Оснасток.

8.Сохраните и закройте консоль.

Упражнение З. Управление оснастками в консоли ММС

В этом упражнении вы поменяете порядок оснасток и удалите одну из них. Вы также изучите расширения оснасток.

1.Откройте консоль MyConsole.msc.

2.В меню Консоль (File) выберите команду Добавить или удалить оснастку

(Add or Remove Snap-in).

3.В списке выбранных оснасток выберите Просмотр событий (Event Viewer).

4.Щелкните кнопку Вверх (Моvе Up).

5.Выберите оснастку Схема Active Directory (Active Directory Schema).

6.Щелкните кнопку Удалить (Remove).

7.В списке Выбранные оснастки (Selected Snap-ins) выберите оснастку Управление компьютером (Computer Management).

8.Щелкните кнопку Изменить расширения (Edit Extensions).

Расширения представляют собой оснастки в еще одной оснастке и обеспечивают дополнительную функциональность. Оснастка Управление компьютером (Computer Management) содержит в качестве расширений много других оснасток, каждую из которых можно включать и отключать по отдельности.

9.Выберите Включать только выбранные расширения (Еnable Only Selected Extensions).

10.Сбросьте флажок Просмотр событий (Event Viewer). Вы уже добавили Просмотр событий в консоль в качестве независимой оснастки.

11.Щелкните ОК, чтобы закрыть диалоговое окно Управление компьютером -

расширения (Extensions For Computer Management).

12.Щелкните ОК, чтобы закрыть диалоговое окно Добавление и удаление оснастки (Add оr Remove Snap-in).

13.Сохраните и закройте консоль.

Упражнение 4. Подготовка консоли к распространению среди пользователей

В этом упражнении вы сохраните консоль в пользовательском режиме, чтобы пользователи не могли добавлять, удалять и модифицировать оснастки. Не забывайте, что пользователями ММС, как правило, становятся сами администраторы.

1.Откройте консоль My Console.msc.

2.В меню Консоль (File) выберите команду Параметры (Options).

3.В раскрывающемся списке Режим консоли (Console Mode) выберите режим Пользовательский - полный доступ (User Mode - Full Access).