Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4612 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет путей сообщения
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Бубнов / Лабораторная работа№7.docx
Скачиваний:
38
Добавлен:
09.06.2015
Размер:
235.06 Кб
Скачать
►Содержание►

Лабораторная работа №7. Администрирование объектов Active Directory

Определение местоположения объектов Active Directory

После установки в сетевой среде службы каталогов Active Directory она фактически становится центральной базой данных для поиска ресурсов компании. Эти ресурсы представлены объектами Active Directory. Основные типы объектов Active Directory, приведены в табл. 1.

Табл. 1. Основные типы объектов и их содержание

Объекты делятся на две категории: объекты-контейнеры и объекты-листы. В состав объекта-контейнера хранятся вложенные объекты; он занимает определенное место в иерархии поддеревьев. Объект-лист, напротив, не содержит вложенных объектов и занимает конечную позицию поддерева. Процедура определения местоположения объектов Active Directory сводится к указанию критериев поиска. Эти критерии должны быть заданы в свойствах искомого объекта при его создании или редактировании. Именно поэтому так важно указывать в процессе создания объектов Active Directory все значимые для компании атрибуты. Чем больше атрибутов с заданными значениями, тем больше гибкость при поиске объектов.

Существует два инструмента определения местоположения объектов Active Directory:

  • функция Найти (Find) консоли Active Directory пользователи и компьютеры (Active Directory Users and Computers);

  • команда Dsquery.

Процедура поиска объектов функцией Найти

Любой объект, опубликованный в Active Directory, можно обнаружить с помощью функции Найти (Find) консоли Active Directory пользователи и компьютеры (Active Directory Users And Computers). Эта функция позволяет проводить поиск пользователей, контактов, групп, компьютеров, принтеров, общих папок, подразделений, серверов и клиентов удаленной установки. Кроме того, она предусматривает возможность формирования специальных поисковых запросов и подачи стандартных административных запросов, направ­ленных на управление пользователями, контактами и группами. Вводимые с помощью функции Найти (Find) критерии поиска преобразуются в запросы LDAP (lightweight directory access protocol, облегченный протокол службы каталогов); именно они факти­чески применяются для обнаружения объектов Active Directory в глобальном каталоге.

Процедура обнаружения объектов Active Directory средствами указанной функции состоит из следующих действий:

  1. Выберите Пуск\Администрирование\АсВуе Directory — пользователи и компьютеры (Start\Adininistrative Toots\Active Directory Users And Computers).

  2. В дереве консоли щелкните правой кнопкой на записи домена, подразделения или контейнера, в пределах которого предполагается провести поиск, и выберите в контекстном меню пункт Найти (Find).

  3. Введите тип искомого объекта в списке Найти (Find) диалогового окна Найти (Find). Проверьте наличие записи домена, подразделения или контейнера, в котором требуется провести поиск, в списке В (In). Как видите, при указании любого типа объектов под списком Найти (Find) появляется одноименная вкладка. Содержание этой вкладки меняется в зависимости от выбранного типа объектов. Если вы считаете, что на данном этапе можно уже приступать к поиску, щелкните кнопку Начать поиск (Find Now). При желании указать дополнительные критерии поиска переходите к следующему шагу.

  4. Введите дополнительные критерии поиска.

  1. Щелкните кнопку Начать поиск (Find Now). Результаты поиска вместе с критериями будут выведены в нижней секции окна Найти (Find).

  2. Если вы хотите начать новый поиск, щелкните кнопку Очистить все (Clear All); в противном случае закройте текущее диалоговое окно и консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers).

Процедура поиска объектов командой Dsquery

Dsquery — это утилита с командной строкой, позволяющая проводить по заданным кри­териям поиск компьютеров, контактов, подсетей, групп, подразделений, узлов, серве­ров и пользователей Active Directory. Для этого используются следующие команды:

  • Dsquery * С помощью обобщенного запроса LDAP проводит поиск произвольных объектов Active Directory.

  • Dsquery computer Проводит поиск компьютеров в каталоге.

  • Dsquery contact Проводит поиск контактов в каталоге.

  • Dsquery subnet Проводит поиск подсетей в каталоге.

  • Dsquery group Проводит поиск групп в каталоге.

  • Dsquery ou Проводит поиск подразделений в каталоге.

  • Dsquery partition Проводит поиск объектов разделов в каталоге.

  • Dsquery quota Проводит поиск спецификаций квот в каталоге.

  • Dsquery site Проводит поиск узлов в каталоге.

  • Dsquery server Проводит поиск серверов в каталоге.

  • Dsquery user Проводит поиск пользователей в каталоге.

Для того, чтобы найти все компьютеры, которые в течение последних четырех недель находились в неактивном состоянии, введите:

dsquery computer -inactive 4

  • Для того чтобы найти всех пользователей подразделения Marketing в домене microsoft.com, введите:

dsquery user OU=Marketing, DC=Microsoft, DC=Com

  • Для того чтобы найти всех пользователей с именами, начинающимися на «Mike», введите:

dsquery user -name Mike*

  • Для того чтобы прочесть все атрибуты объекта с составным именем OU=Test, DC=Microsoft, DCСот, введите:

dsquery * OU=Test, DC=Microsoft, DC=Com - scope base -attr *

Процедура поиска объектов с помощью утилиты Dsquery выглядит следующим образом:

  1. Выберите Пуск\Командная строка (Start\Coinmand Prompt).

  2. После открытия окна командной строки введите нужную команду Dsquery и укажите ее параметры.

Сохранение запросов

Функция сохранения запросов, впервые появившаяся в операционной системе Windows Server 2003, позволяет администраторам создавать запросы, редактировать их, сохрани систематизировать и даже отправлять по электронной почте.

Сохраненные запросы хранятся в одноименном контейнере консоли Active Directory пользователи и компьютеры (Active Directory Users And Computers). Они фиксируются в файле этой консоли (Dsa.msc) и восстанавливаются каждый раз при ее открытии. Создав собственный набор запросов, вы можете перенести упомянутый файл консоли на любой другой контроллер Windows Server 2003 в пределах домена. Кроме того, сохраненные запросы можно экспортировать в файл .xml, а из него — импортировать в другие консоли Active Directory — пользователи и компьютеры (Active Directory Users And Computers) контроллеров Windows Server 2003 локального домена.

Процедура сохранения запросов выглядит следующим образом:

  1. Выберите Пуск\Администрироваиие\Ас11Уе Directory — пользователи и компьютер (Start\Adininistrative Tools\Active Directory Users And Computers).

  2. В дереве консоли щелкните правой кнопкой мыши на папке Сохраненные запрос (Saved Queries) или на одной из ее подпапок — в зависимости от того, где вы намерены сохранить запрос. В контекстном меню выберите Создать\Запрос (New\Query).

  3. Укажите в поле Имя (Name) диалогового окна Новый запрос (New Query) имя нового запроса. В поле Описание (Description) введите его описание. Проверьте, указан ли контейнер, с которого предполагается начать поиск, в поле Корневой запрос (Query Root). В противном случае, нажав кнопку Обзор (Browse), укажите метоположение искомого контейнера. Для того чтобы провести поиск по всем подкотейнерам указанного контейнера, установите флажок Включая подконтейиеры (Inclu Subcontainers). Щелкните кнопку Запрос (Define Query).

  4. Укажите в списке Найти (Find) диалогового окна Найти (Find) тип искомого объекта. При выборе того или иного типа объектов под списком Найти (Find) появляется вкладка с соответствующим именем. Содержание вкладки варьируется в зависимости от выбранного объекта. Если вы готовы запустить процесс поиска прямо сейчас, щелкните кнопку ОК. При желании обозначить дополнительные критерии поиска переходите к следующему шагу.

  5. Введите дополнительные критерии поиска. Это можно сделать двумя способами:

  • Ввести соответствующие данные во вкладке выбранного типа объектов и нажать после этого кнопку ОК.

  • Перейти на вкладку Дополнительно (Advanced) и выбрать в окне Поле (Field) атрибут, по которому будет проводиться поиск. Далее нужно уточнить условия поиска с помощью методов из списка Список условий (Condition List). Введите значение условия поля (атрибута), по которому будет проводиться поиск, в окне Значение (Value). Чтобы добавить новые специальные критерии поиска в окно, расположенное под кнопкой Добавить (Add), нажмите эту кнопку. После этого щелкните ОК.

  1. Щелкните кнопку ОК в диалоговом окне Новый запрос (New Query). Результаты поиска вместе с его критериями будут выведены в правой секции окна.

Задание 3. Определите местоположение пользователей с помощью команды Dsquery

Ваша задача — обнаружить местоположение учетных записей, созданных в ходе выпол­нения задания 1, с помощью команды Dsquery.

Управление доступом к объектам Active Directory

Для реализации управления доступом ко всем объектам Active Directory в Windows Serve 2003 используется объектная модель защиты. Она аналогична модели, применяемой в реализации защиты файловой системы NTDS. К каждому объекту Active Directory привязывается дескриптор защиты, регламентирующий круг лиц, которые обладают полномочиями доступа к этому объекту, и определяет разрешенные типы доступа.

Участниками системы безопасности считаются пользователи, группы, компьютеры и службы, которым присвоены уникальные идентификаторы защиты (security identifiers, SID). Идентификатор защиты, в свою очередь, идентифицирует пользователя, группу, компьютер или службу в рамках предприятия и задействуется в процессе управления участниками системы безопасности. Помимо прочего, в круг обязанностей администратора входит управление разрешениями на операции с участниками системы безопас­ности. Назначение разрешений возможно только по отношению к данным, размешенным на дисках NTFS.

Для вывода информации о зарегистрированном в данный момент пользователе применяется утилита командной строки Whoami. Она помогает выяснить подробности, относящиеся к конкретной учетной записи пользователя, что оказывается очень кстати перед попытками устранения неполадок при доступе к ресурсам.

Относительно каждого объекта Active Directory в Windows Server 2003 заводится и хранится список разрешений на доступ пользователей — так называемый список управления доступом (access control list, ACL). В ACL объекта перечислены все лица, обладающие полномочиями доступа к нему, и указаны операции, открытые для каждого из них. Для того, чтобы наделить того или иного участника системы безопасности полномочиями доступа к конкретному объекту, его нужно ввести в ACL этого объекта. Только после этого задаются конкретные операции, которые данный участник системы безопасности может производить относительно рассматриваемого объекта.

Разрешения

Любые разрешения могут быть выставлены в одном из двух значений: Разрешить (Allow) или Запретить (Deny). При запрете обращения к объекту того или иного пользователя ему не поможет даже членство в группе, для которой аналогичная операция разрешена. Конкретный перечень разрешений на доступ к объекту определяется его типом.

Стандартные разрешения назначаются чаще всего. Для того, чтобы просмотреть список стандартных разрешений, соответствующих тому или иному объекту, перейдите на вкладку Безопасность (Security) его диалогового окна Свойства (Properties).

Чтобы ознакомиться с перечнем стандартных разрешений конкретного объекта, выполните следующие действия:

  1. Выберите Пуск\Администрирование\Асtive Directory — пользователи и компьютер (Start\Administrative Tools\Active Directory Users And Computers). В меню Вид (View) напротив пункта Дополнительные функции (Advanced Features), должен быть установлен флажок. Щелкнув правой кнопкой мыши на записи объекта, стандартные разрешения которого требуется просмотреть, и выберите в контекстном меню пункт Cвойства (Properties).

  2. Оказавшись в диалоговом окне Свойства (Properties) объекта, перейдите на вкладку Безопасность (Security). Чтобы просмотреть стандартные разрешения, назначенные для искомого участника системы безопасности, выберите его запись в секции Группы или пользователи (Group Or User Names).

Если пункт Дополнительные функции (Advanced Features) в меню Вид (View) не помечен флажком, вкладка Безопасность (Security) будет скрыта.

Стандартные разрешения расширяются за счет специальных разрешений, которые предполагают повышенный уровень контроля над назначением полномочий доступа.

Специальные разрешения иногда называют дополнительными настрой­ками безопасности. Ознакомиться с перечнем специальных разрешений, проставленных в отношении конкретного объекта, можно с помощью диалогового окна Элемент разрешения (Permission Entry).

В наборе инструментов Программы поддержки Windows (Window Support Tools) присутствуют утилиты Acldiag.exe и Dsacls.exe, предназначенные для просмотра и редактирования разрешений Active Directory.

Владение объектами

Пользователь, создавший объект, автоматически становится его владельцем. Право владения большинством объектов Active Directory и объектов сетевых серверов принадлежит администраторам. Владелец объекта контролирует механизм назначения разрешений на обращение к этому объекту и устанавливает круг лиц, которым эти разрешения доступны.

Объекты передаются во владение:

  • администраторам [по умолчанию, членам группы Администраторы];

  • пользователям или группам, которым назначено разрешение Стать владельцем (Take Ownership) относительно конкретных объектов;

  • пользователям, у которых есть права Восстановление файлов и каталогов (Restore Fit And Directories).

В Windows Server 2003 Active Directory предусматривается возможность установления квот на количество объектов раздела каталога, которые могут находиться во владении одного участника системы безопасности (пользователя, группы или компьютера) Квоты Active Directory предотвращают отказы от обслуживания в результате нехватки дискового пространства на контроллерах домена — ситуации, которая, в свою очередь обуславливается чрезмерным увеличением количества объектов, созданных одним участникам системы безопасности. Квоты не распространяются на всех, за исключениеем членов групп Администраторы домена (Domain Administrators) и Администраторы предприятия (Enterprise Administrators). В некоторых случаях на одного участника систем безопасности распространяется сразу несколько квот — например, квота, установленная для него лично, и квота, установленная для группы, к которой он принадлежит. В таких случаях действует наиболее крупная квота.

Если участник системы безопасности оказывается вне области действия прямой квоты, на него распространяется стандартная квота, установленная для его раздела. Если же и таковая отсутствует, то любые ограничения в пределах данного раздела снимаются. Для того, чтобы квоты в рамках раздела каталога домена возымели действие, все контроллеры данного домена должны работать под управлением операционной систем, Windows Server 2003. Для активизации квот в пределах раздела конфигурации все домены в рамках леса должны работать под управлением Windows Server 2003. Квоты относительно разделов схемы не устанавливаются.

Создание и обслуживание квот Active Directory осуществляется с помощью команд dsadd quota, dsmod quota и dsquery quota.

Влияние членства в группах на управление доступом

Любой участник системы безопасности может быть членом нескольких групп, каждая из которых характеризуется разными наборами разрешений и уровнями доступа к объектам. Конкретный набор разрешений участника системы безопасности складывается из разрешений на доступ к конкретным объектам и разрешений, распространяющихся на него посредством членства в группах.

Влияние наследования на управление доступом

Существует два способа установления разрешений на доступ к объекту: явное назначение и наследование. Явные разрешения устанавливаются непосредственно по отношению объекта его владельцем. Разрешения, получаемые путем наследования, передаются родительскими объектами дочерним. Возможность наследования разрешений значительно упрощает задачу управления и обеспечивает непротиворечивость разрешений в рамках контейнера.

Среди инструментов, входящих в набор Программы поддержки Windows (Windows Support Tools), фигурирует утилита SDCheck, предназначенная для диагностики проблем, связанных с наследованием и репликацией разрешений.

Как правило, в результате назначения разрешений относительно родительско объекта они наследуются всеми его дочерними объектами. О том, что разрешения унаследованы, свидетельствуют следующие элементы.

  • Затененные флажки разрешений на вкладках Безопасность (Security) диалоговых окон Свойства (Properties) в диалоговых окнах Элемент разрешения (Permission Entry) объектов. В случае наследования разрешения его флажок затеняется. С другой стороны, затимнение флажка специального разрешения может свидетельствовать лишь о том, что это разрешение существует.

  • Значения в столбце Унаследовано от (Inherited From) Этот столбец находится в списке Элементы разрешений (Permission Entries) в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings) объекта. Если разрешение унаследовано, здесь выводится составное имя родительского объекта.

  • Неактивная кнопка Удалить (Remove) Эта кнопка расположена в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings). Если разрешение относится к категории унаследованных, кнопка Уделить (Remove) становится неактивной — удалить его можно только в родительском объекте.

Фактические разрешения

Фактическими разрешениями называется вся совокупность разрешений относительно рассматриваемого объекта, которыми обладает участник системы безопасности — в этот набор входят, помимо личных, разрешения, полученные за счет членства в группах и унаследованные от родительских объектов. В операционной системе Windows Server 2003 появилась новая функция, позволяющая просматривать все фактические разрешения, назначенные относительно данного объекта указанному участнику системы безопасности. Для того чтобы ознакомиться со списком фактических разрешений, назначении указанному участнику системы безопасности относительно конкретного объекта, выполните следующие действия:

  1. Выберите Пуск\Администрирование\Асtive Directory — пользователи и компьютеры (Start\Administrative Tools\Active Directory Users And Computers). Проверьте, поставлен ли флажок напротив пункта Дополнительные возможности (Advanced Features) меню Вид (View). Щелкнув правой кнопкой мыши на записи объекта, чьи фактические разрешения вы намерены просмотреть, выберите в контекстном меню пункт Свойства (Properties).

  2. Перейдите на вкладку Безопасность (Security) диалогового окна Свойства (Properties) указанного объекта, а затем щелкните кнопку Дополнительно (Advanced).

  3. Перейдите на вкладку Действующие разрешения (Effective Permissions) диалогового окна Дополнительные параметры безопасности (Advanced Security Settings). Щелкните кнопку Выбрать (Select).

  4. Введите в поле Введите имена выбираемых объектов (Enter The Object Name To Select) диалогового окна Выбор: Пользователи, компьютеры или группы (Select User, Computer, Or Group) имя искомого пользователя или группы. Щелкните кнопку ОК. На факти­ческие разрешения, которыми выбранный пользователь или группа обладает относительно данного объекта, указывают установленные флажки.

Назначение стандартных разрешений

Стандартные разрешения назначаются во вкладке Безопасность (Security) диалогового окна Свойства (Properties) объекта, которое, в свою очередь, открывается через консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers).

Процедура назначения стандартных разрешений относительно конкретного объект выглядит следующим образом:

  1. Выберите Пуск\Администрирование\Асtivе Directory — пользователи и компьютеры (Start\Administrative Tools\Active Directory Users And Computers). Проверьте, установлен ли флажок напротив пункта Дополнительные возможности (Advanced Features) меню Вид (View). Щелкнув правой кнопкой мыши на записи объекта, относительно которого предполагается назначить разрешения, выберите в контекстном меню пункт Свойства (Properties).

Если флажок напротив пункта Дополнительные возможности (Advanced Features) меню Вид (View) будет снят, вы не сможете перейти на вкладку Безопасность (Security), а, следовательно, — и назначить относительно объекта стандартные разрешения.

  1. Перейдите на вкладку Безопасность (Security) диалогового окна Свойства (Properties) искомого объекта. Имейте в виду, что для каждого типа объектов в диалоговом окне Свойства (Properties) выводится индивидуальный список разрешений. Щелкните кнопку Добавить (Add).

  2. Укажите в поле Введите имена выбираемых объектов (Enter The Object Names To Select) диалогового окна Выбор: Пользователи, компьютеры или группы (Select Users, Computers, Or Groups) имя участника системы безопасности, которому предполагается назначить разрешения. Щелкните кнопку ОК.

  3. Для каждого разрешения, которое требуется добавить, изменить или отозвать, установите в секции Разрешения для участника безопасности (Permission For Security Principal) флажок Разрешить (Allow) или Запретить (Deny). Щелкните кнопку ОК.

Администрирование специальных разрешений

Для выполнения большинства административных задач вполне достаточно стандартных разрешений. Тем не менее, в некоторых ситуациях без специальных разрешений не обойтись. Они назначаются в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings) объекта, которое открывается через консоль Active Directory пользователи и компьютеры (Active Directory Users And Computers).

Для того чтобы назначить или изменить специальные разрешения относительно конкретного объекта, выполните следующие действия:

  1. Выберите Пуск\Администрирование\Асtive Directory пользователи и компьютеры (Start\Administrative Tools\Active Directory Users And Computers). Проверьте, установлен ли флажок напротив пункта Дополнительные возможности (Advanced Features) меню Вид (View). Щелкнув правой кнопкой мыши на записи объекта, относительно которого предполагается назначить или изменить специальные разрешения, выберите в контекстном меню пункт Свойства (Properties).

  2. Перейдите на вкладку Безопасность (Security) диалогового окна Свойства (Properties) выбранного объекта. Щелкните кнопку Дополнительно (Advanced).

  3. При появлении на экране диалогового окна Дополнительные параметры безопасности (Advanced Security Settings) объекта выполните одно из следующих действий.

□Чтобы назначить специальные разрешения новому участнику системы безопасности или предоставить дополнительные специальные разрешения участнику, для которого уже назначен набор таких разрешений, щелкните кнопку Добавить (Add). Введите имя искомого участника системы безопасности в поле Введите имена выбираемых объектов (Enter The Object Name To Select), после чего щелкните кнопку ОК.

□Чтобы изменить набор специальных разрешений относительно объекта, выбери нужную запись в списке Элементы разрешений (Permission Entries), а затем щелкните кнопку Изменить (Edit).

  1. Установите или измените специальные разрешения во вкладках Объект (Object) Свойства (Properties) диалогового окна Элемент разрешения (Permission Entry) объекта. Щелкните кнопку ОК.

  2. Щелкните кнопку ОК в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings) объекта.

  3. Щелкните кнопку ОК в диалоговом окне Свойства (Properties) объекта.

Настройка наследования разрешений

Наследование разрешений регулируется тремя нижеследующими параметрами.

  • Флажок Разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам, добавляя их к разрешениям, явно заданным в этом окне (Allow Inheritable Permissions From The Parent To Propagate To This Object And All Child Objects. Include These With Entries Explicitly Defined Here).

Соседние файлы в папке Бубнов
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности