Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4603 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет путей сообщения
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:

Бубнов / Лабораторная работа№6

.docx
Скачиваний:
34
Добавлен:
09.06.2015
Размер:
351.06 Кб
Скачать

Лабораторная работа №6

Реализация структуры подразделений

Введение в подразделения

Введение в подразделения

Подразделением (organizational unit, OU) называется контейнер, спо­собствующий систематизации объектов домена в рамках логических административных групп. Среди объектов, которые могут содержаться в подразделениях, следует упомянуть учетные записи пользователей, группы, компьютеры, принтеры, приложения, общие папки, а также другие вложенные подразделения, относящиеся к локальному домену. Графически подразделения обозначаются пиктограммой папки с книгой. При установке Active Directory на новые контроллеры домена Microsoft Windows Server 2003 автоматически создается подразделение Контроллеры домена (Domain Controllers). В ре­зультате дополнения одних подразделений другими формируется иерархическая структура, а называется этот процесс вложением подразделений. Структура подразделений присутствует на любом контроллере домена. При этом структуры подразделений разных доменов совершенно независимы друг от друга.

Существует три основных задачи, руководствуясь которыми администраторы создают подразделения:

  • делегирование административных полномочий;

  • администрирование групповых политик;

  • сокрытие объектов.

Создание подразделений для делегирования административных полномочий

Как правило, новые подразделения создаются с целью делегирования административных полномочий. Под делегированием административных полномочий понимается передача обязанностей по управлению определенной частью пространства имен (например, подразделением), которые изначально возложены на сотрудников отдела информационных технологий, администратору, пользователю или группе таковых. Операционная система Windows Server 2003 позволяет делегировать административные полномочия относительно объектов, содержащихся в подразделениях (будь то пользователи, компьютеры или объекты ресурсов), путем наделения администраторов конкретными полномочиями. Для решения последней задачи применяются списки управления доступом подразделений.

Список управления доступом (access control list, ACL) — это механизм ограничения доступа к отдельным элементам данных или управления, исходя из идентификационных данных пользователей и информации о их членстве в тех или иных группах. В каждом списке ACL имеются индивидуальные записи (access control entries, ACEs), которые определяют круг пользователей и групп, обладающих полномочиями доступа к данному подразделению, и регламентируют типы доступа.

Иерархические модели подразделений в контексте делегирования административных полномочий

Определившись с тем, какие подразделения следует выделить в компании, вы можете приступить к формированию из них иерархической структуры административного управления. В рамках каждой такой структуры существует уровень высокоуровневых подразделений, под которым тем или иным образом систематизируются подразделения второго уровня. В различных ситуациях иерархические структуры, предназначенные для делегирования административных полномочий, отражают следующие организационные модели,

  • Местонахождение Структуры подобного рода применяются в тех случаях, когда административные обязанности в рамках домена распределяются по «территориальному» признаку (рис. 1). На иллюстрации изображены два подразделения высшего уровня (East и West), которые соответствуют установленным в компании contoso.com регионам. Подразделения второго уровня представляют физические местоположе­ния четырех отделений компании.

Рис. 1. Структура подразделений, построенных по признаку местоположения

Бизнес-функции Такие структуры применяются в тех случаях, когда административ­ные полномочия в рамках домена распределяются в соответствии с исполняемыми ими бизнес-функциями (рис. 2). На рис. 2 подразделения высшего уровня Admin, Devel и Sales соответствуют крупнейшим отделам компании contoso.com. Подразделения второго уровня представляют более мелкие функциональные единицы.

Типы объектов Подобные структуры применяются в тех случаях, когда административные обязанности в рамках домена распределяются согласно типам управляемых объектов (рис. 3). Изображенные на рис. 3 подразделения высшего уровня — Users, Computers и Resources — соответствуют применяемым в компании contoso.com типам объектов. Подразделения второго уровня представляют более подробные характеристики типов объектов.

Рис. 2. Структура подразделений, построенная в соответствии с бизнес-функциями

Рис. 3. Структура подразделения, построенная согласно типам объектов

  • Сочетания Структуры подобного рода применяются в тех случаях, когда административные обязанности в домене распределяются согласно произвольным сочетаниям иерархических моделей местоположения, бизнес-функций и типов объектов (рис. 4). Высокоуровневые подразделения — West и East — соответствуют регионам, в которых расположены отделения компании cdntoso.com. Подразделения второго уровня представляют функциональные единицы компании.

Рис. 4. Структура подразделений, построенная на основе сочетания моделей местоположения и бизнес-функций

Типы административных обязанностей

Подразделению можно делегировать административные обязанности двух типов:

  • неограниченные полномочия управления;

  • управление классами объектов.

По умолчанию, неограниченными полномочиями управления всеми объектами домена обладают только его администраторы. Они ответственны за создание первоначальной структуры подразделений, исправление допущенных ошибок и введение дополни­тельных контроллеров домена. В большинстве случаев следует ограничиться предоставлением неограниченных полномочий управления только членам этой группы. Однако если в компании существуют отделы, в которых требуется определить индивидуальные структуры подразделений и административные модели, делегировать неограниченные полномочия управления можно и им.

Принимая решение о делегировании подразделению неограниченных полномочий управления, нужно установить, какие области компании смогут изменять свойства подразделений, а также создавать, удалять и изменять объекты подразделений. Если вам кажется, что административные возможности разумно ограничить, можно делегировать подразделению полномочия управления конкретными классами объектов. Неважно, что в схеме определено множество классов объектов — в данном случае рассматриваются только те из них, в которых администраторам предстоит создавать объекты. Среди классов подобного рода, как правило, фигурируют объекты учетных записей пользователей и компьютеров, групп и подразделений. Перед делегированием администраторам полномочий управления классами объектов в отношении каждого из них нужно определить:

  • области в рамках компании, которым будет предоставлены неограниченные полномочия управления объектами данного класса в рассматриваемом подразделении;

  • области в рамках компании, которым будет разрешено создавать объекты данного класса и которые, соответственно, получат неограниченные полномочия управления ими;

  • области в рамках компании, которым будет разрешено изменять отдельные атрибу­ты существующих объектов данного класса или выполнять с их участием отдельные задачи.

По умолчанию, полномочия, предоставленные подразделению, наследуют все его дочерние объекты.

Создание подразделений для администрирования групповых политик

Групповыми политиками называются совокупности настроек конфи­гурации пользователей и компьютеры, которые за счет привязки к компьютерам, сайтам, доменам и подразделениям регулируют поведение компьютеров пользователей. Создание конфигурации рабочего окружения, которым пользуются те или иные группы пользователей, фактически сводится к созданию объектов групповой политики (group policy objects, GPOs) — совокупностей настроек групповой политики. Путем связывания объектов GPO с подразделениями действие GPO распространяется либо на пользователей, либо на компьютеры, расположенные в рамках этих подразделений.

Создание подразделений для сокрытия объектов

Иногда предъявляемые компаниями требования подразумевают сокрытие отдельных объектов в рамках подразделений (или даже целых подразделений) от определенных категорий пользователей. К примеру, даже в отсутствие полномочий на чтение атрибутов того или иного объекта пользователь может иметь разрешение на просмотр данных в его родительском контейнере, и тогда сам факт существования объекта будет ему известен. Для сокрытия объектов в рамках домена они объединяются в подразделения; в этих подразделениях настраиваются полномочия Список содержимого (List Contents), которые распространяются не на всех пользователей, а лишь на некоторых из них.

Проектирование структур подразделений

Проект структуры подразделений должен быть как можно более простым. Необходима минимизация численности лесов и доменов. При этом не исключено, что для выполнения выставленных компанией административных требований вам придется ввести значительное количество подразделений. Лучше всего начать с одного подразделения, а впоследствии, по мере необходимости, вводить новые. Иногда без многоуровневого вложения подразделений не обойтись, но, в принципе, нужно стараться свести количество уровней структуры к минимуму (их не должно быть больше семи) — в противном случае повышается вероятность возникновения административных проблем и снижения производительности.

Вложение подразделений

Чем больше групповых политик системе приходится оценивать, тем медленнее проходят процессы регистрации и загрузки. Более того — если на каждом уровне иерархии подразделений будут установлены разные полномочия, задача устранения неполадок значительно усложнится. В этом отношении гораздо более удачной представляется структура с единообразными (наследуемыми) полномочиями. Таким образом, при формировании структуры подразделений нужно стремиться минимизировать количество вносимых в полномочия изменений и сократить численность требующих обработки объектов GPO. Кроме того, при проектировании структур подразделений следует иметь в виду следующие факторы.

  • Подразделения не являются участниками системы безопасности. Следовательно, назначать полномочия доступа лишь на основе членства пользователей в подразделении нельзя. Управление доступом есть вотчина глобальных, универсальных и локальных групп домена.

  • Структура подразделений не решает задачу навигации пользователей. Несмотря на то, что структура подразделений в рамках домена прозрачна для пользователей, наиболее эффективным способом обнаружения ресурсов в Active Directory остается отправка запросов глобальному каталогу. Следовательно, создавать подразделения нужно в расчете не на пользователей, а на административные задачи.

Разработка структуры подразделений

В любом домене может быть реализована индивидуальная иерархия подразделений. Если в компании несколько доменов, в каждом из них можно создать отдельные структуры подразделений, не зависящие от структур других доменов.

Создание подразделений

Для создания подразделений используется консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers).

Для того чтобы создать новое подразделение, выполните следующие действия:

  1. Выберите Пуск\Администрированне\АсДуе Directory — пользователи и компьютеры (Start\Administrative Tools\Active Directory Users And Computers).

  2. Щелкните правой кнопкой мыши на записи, в которой предполагается создать новое подразделение (это может быть либо домен, либо другое подразделение), после чего выберите в контекстном меню Создать\Подразделение (New\Organizational Unit).

  3. В поле Имя (Name) диалогового окна Новый объект — Подразделение (New Object- Organizational Unit) введите имя нового подразделения и щелкните кнопку ОК.

Создание подразделений для сокрытия объектов

В процессе создания подразделения с целью сокрытия объектов участвуют консоль Active Directory пользователи и компьютеры (Active Directory Users And Computers) и вкладка Безопасность (Security) диалогового окна Свойства (Properties) рассматриваемого подразделения. Скрывать объекты согласно нижеследующей процедуре могут только те пользователи, которые обладают полномочиями изменения списков ACL подразделения.

Для того чтобы создать подразделение с целью сокрытия объектов, выполните следующие действия:

  1. Создайте нов подразделение, с помощью которого предполагается скрыть искомые объекты.

  2. Щелкнув на записи нового подразделения правой кнопкой мыши, выберите пункт Свойства (Properties).

  3. Оказавшись в диалоговом окне Свойства (Properties) подразделения, перейдите на вкладку Безопасность (Security). Для того чтобы просмотреть вкладку Безопасность (Security) диалого­вого окна Свойства (Properties) подразделения, необходимо предварительно выбрать в меню Вид (View) консоли Active Directory пользователи и компьютеры (Active Directory Users And Computers) пункт Дополнительные функции (Advanced Features).

  4. Когда на экране появится вкладка Безопасность (Security) диалогового окна Свойства (Properties), удалите из подразделения все предварительно установленные полномочия. Щелкните кнопку Дополнительно (Advanced).

  5. Снимите флажок Разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам (Allow Inheritable Permissions From The Parent To Propagate To This Object And All Child Objects), расположенный в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings) подразделения.

  6. При появлении на экране окна сообщения Безопасность (Security) щелкните кнопку Удалить (Remove). Затем нажмите ОК.

  7. Вернувшись к вкладке Безопасность (Security) диалогового окна Свойства (Properties), выберите группы, которым предполагается предоставить неограниченные полномо­чия управления подразделением. Назначьте им эти полномочия.

  8. Выберите группы, которым требуется предоставить базовые полномочия чтения относительно подразделения и содержащихся в нем данных. Назначьте им эти полномочия.

  9. Назначьте полномочия. Щелкните кнопку ОК.

  10. Переместите в новое подразделение объекты, которые требуется скрыть.

Администрирование подразделений

Задачи, связанные с администрированием подразделений, помогают администратором адаптироваться к происходящим в компании изменениям, которые оказывают воздействие на подразделения.

Среди задач, связанных с администрированием подразделений, фигурируют их переименование, перемещение и удаление; кроме того, речь пойдет о перемещении объектов из одного подразделения в другое.

Переименование, перемещение и удаление подразделений

Иногда в процессе адаптации к меняющимся потребностям компании подразделения приходится переименовывать, перемещать и удалять. Одновременно с удалением подразделения удаляются все содержащиеся в нем объекты.

Для того чтобы переименовать подразделение, выполните следующие действия:

  1. Выберите Пуск\Администрирование\Асtive Directory — пользователи и компьютеры (Start\Administrative Tools\Active Directory Users And Computers).

  2. Раскройте запись нужного домена.

  3. Щелкнув правой кнопкой на записи подразделения, которое требуется переименовать, щелкните кнопку Переименовать (Rename).

  4. Введите поверх старого имени сайта новое имя подразделения. Щелкните в незаполненной области дерева консоли.

Для того чтобы переместить подразделение, выполните следующие действия:

  1. Выберите Пуск\Администрирование\Асtivе Directory — пользователи и компьютеры (Start\Administrative Tools\Active Directory Users And Computers).

  2. Раскройте запись нужного домена.

  3. Щелкните на записи подразделения, которое предполагается переместить, перета­щите его в нужное положение и отпустите кнопку мыши. В результате подразделение будет перенесено в новое место.

Для того чтобы удалить подразделение, выполните следующие действия:

  1. Выберите Пуск\Администрированне\Асtivе Directory пользователи и компьютеры (Start\Administrative Too!s\Active Directory Users And Computers).

  2. Раскройте запись домена.

  3. Щелкните на записи подразделения, которое предполагается удалить, и щелкните кнопку Удалить (Delete).

  4. При появлении окна сообщения Active Directory щелкните кнопку Да (Yes).

  5. Если в удаляемом подразделении содержится объекты, на экране появится еще одно окно сообщения Active Directory. Если вы намерены удалить подразделение вместе с содержащимися в нем объектами, щелкните кнопку Да (Yes).

Настройка свойств подразделений

Задание свойств подразделения во-первых расширяет комплекс информации о нем, а во- вторых облегчает задачу его обнаружения. Информация о подразделении содержится во вкладках Общие (General) и Управляется (Managed By) его диалогового окна Свойства (Properties). Во вкладке Общие (General) приводится описание подразделения с указанием адреса, города, штата или области, ZIP-кода или почтового индекса, страны и региона. Если описание подразделения в этой вкладке введено, по нему можно, проводить поиск.

Во вкладке Управляется (Managed By) приводится имя менеджера подразделения, название отделения компании, в котором он работает, его адрес, город, штат или область, страна или регион, номера телефона и факса. Если ввести в поле Имя (Name) этой вкладки имя менеджера, предварительно указав сведения о пользователе. В относящемся к нему диалоговом окне Свойства (Properties), эта информация будет автоматически выведена во вкладке Управляется (Managed By).

Для того чтобы задать свойства подразделения, выполните следующие действия:

  1. Выберите Пуск\Администрирование\Асtive Directory — пользователи и компьютеры (Start\Administrative TooIs\Active Directory Users And Computers).

  2. Раскройте запись нужного домена.

  3. Щелкнув правой кнопкой мыши на записи искомого подразделения, выберите в контекстном меню пункт Свойства (Properties).

  4. Перейдите на вкладку свойств подразделения, в которой планируется ввести или изменить информацию, и введите Значения в поле каждого свойства. Повторите эти действия для каждой вкладки, после чего щелкните кнопку ОК.

Перемещение объектов между подразделениями

Если объекты перемещаются между разными подразделениями одного домена, разрешения, назначенные для них напрямую, остаются в силе; кроме того, объекты наследуют разрешения от своих новых подразделений. Соответственно, все разрешения, которые ранее были унаследованы объектами от старого подразделения, аннулируются.

Существует несколько способов перемещения объектов Active Directory между подразделениями:

  • путем перетаскивания;

  • с помощью функции Переместить (Move) консоли Active Directory пользователи и компьютеры (Active Directory Users And Computers);

  • с привлечением утилиты с командной строкой Dsmove.

Перетаскивание объектов

Операцию перемещения объекта из одного подразделения в другое можно свести к выделению его записи в исходном подразделении, перетаскиванию ее в целевое подразделение и высвобождению кнопки мыши.

Для того чтобы переместить объект из одного подразделения в другое путем перетаскивания, выполните следующие действия:

  1. Выберите Пуск\Админнстрирование\Асive Directory — пользователи и компьютер- (Start\Administrative Tools\Active Directory Users And Computers).

  2. Раскройте запись домена и запись исходного подразделения.

  3. Щелкните в правой панели на записи объекта, который предполагается переместить в другое подразделение, перетащите его в целевое подразделение на дереве консоли, а затем отпустите кнопку мыши. В результате объект будет перенесен в новое место.

Консоль Active Directory пользователи и компьютеры (Active Directo Users And Computers) ограничивает возможности перемещения подразделений границами домена. Для того чтобы переместить подразделение из одного домена в другой, нужно обратиться к диспетчеру объектов Active Directory (утилите Movetree.exe).

Перемещение объектов с помощью функции Переместить

В зависимости от задач, которые ставятся компанией, из одного подразделения в другое перемещаются отдельные пользователи или целые группы. Функция Переместить (Move) приносит желаемый результат безотносительно к типу перемещаемых объектов.

Для того чтобы переместить объект из одного подразделения в другое с помощью функции Переместить (Move), выполните следующие действия:

  1. Откройте консоль Active Directory пользователи и компьютеры (Active Directo Users And Computers), щелкните правой кнопкой на записи объекта, который предполагается переместить, и выберите в контекстном меню пункт Перемесить (Move).

Для того чтобы переместить несколько объектов одновременно, во время выделения их записей нужно удерживать клавишу Ctrl; после выделения сле­дует, как обычно, щелкнуть правой кнопкой мыши и выбрать пункт Переместить (Move).

  1. При появлении на экране диалогового окна Переместить (Move) выбери те подразделение или контейнер, в которым предполагается разместить перемещаемый объект, и щелкните кнопку ОК.

Перемещение объектов с помощью утилиты Dsmove

Dsmove — это утилита командной строки, предназначенная для перемещения объектов из одного подразделения в другое. Кроме того, она позволяет переименовывать отдельные объекты без их перемещения по дереву каталогов.

Синтаксис Dsmove выглядит следующим образом: dsmove ObjectDN [-newname NewName] [- newparent ParentDN] [{-s Server | -d Domain}] [-u UserName] [-p {Password|*}] [-q] {- uc | -uco | -uci}

Назначение всех параметров команды Dsmove определяется в табл. 1.

Табл. 1. Параметры команды Dsmove

Если в задаваемое значении содержатся пробелы, вокруг текста нужно поставить открывающие и закрывающие кавычки (пример: «CN=User One, CN=Users, DC=Contoso, DC=Com»). Если для параметра устанавливается несколько значений, в качестве разделителей применяются пробелы (см., например, список составных имен).

  • Для того чтобы переместить пользователя User One из подразделения Sales в подраз­деление Marketing, введите:

dsmove <<CN=User One, 0U=Sales, DC=Contoso, DC=Com» -newparent OU=Marketing, DC=Contoso, DC=Com

  • Для того чтобы переименовать объект пользователя из User One в User Two, введите, dsmove «CN=User One, 0U=Sales, DC=Contoso, DC=Com>> -newname «User Two»

  • Для того чтобы провести операции перемещения и переименования одновременно; введите:

dsmove «CN=User One,0U=Sales,DC=Contoso,DC=Com» -newparent OU=Marketing,DC=Contoso,DC=Com -newname «User Two»

Для того чтобы переместить объекты из одного подразделения в другое с помощь: утилиты Dsmove, выполните следующие действия:

  1. Выберите Пуск\Командная строка (Start\Command Prompt).

  2. При появлении на экране окна командной строки введите dsmove и укажите все необходимые параметры.

ЗАДАНИЯ

  1. Создайте в домене contoso.com структуру подразделений.

Спланируйте структуру подразделений в компании Contoso Pharmaceuticals. У компании Contoso Pharmaceuticals четыре отделения: Chicago, Kansas City, St. Paul и Columbus. Кроме того, компания подразделяется на два региона: East и West. В регион East входят отделения Chicago и Columbus, а в регион West, соответственно, — Kansas City и St. Paul. В компании существует единственный домен — contoso.com. Ряд административных решений принимается отделами IT на местах, подотчетными региональным отделам IT, которые несут ответственность за принятие стратегических административных решений. Ваша задача — изобразить на схеме иерархию подразделений в рамках домена contoso.com.

  1. Создать в рамках домена contoso.com ряд подразделений высшего уровня.

  2. Создайте подразделения второго уровня.

  3. Переименуйте, удалите и переместите подразделения.

  4. Установите свойства подразделения

  5. Переместите объекты из одного подразделения в другое с помощью Переместить (Move) и утилиты командной строки Dsmove.

Соседние файлы в папке Бубнов
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности