Книга Active directory
.pdf-) 128 |
Пользователи |
Глава з |
В Windows Server 2008 учетную запись пользователя также можно разблокировать с помошыо команды Смена пароля (Reset Password). Установите флажок Разблокировать учетную запись пользователя (Unlock The User's Account), показанный на рис. 3-8. Этот метод удобен при блокировке учетной записи по причине того, что пользователь забыл пароль. Теперь вы можете в одном диалоговом окне назначить новый пароль, потребовать смены пароля пользователем при следующем входе и разблокировать учетную запись.
К сожалению, командная строка и оболочка PowerShell не обеспечивают средство разблокировки учетных записей. Для разблокировки учетной записи пользователя используется специальный код VBScript:
Set objUser = GetObject("LDAP://DH_пользователя") objUser.IsAccountLocked = False
objUser.Setlnfo
Отключение и включение учетной записи пользователя
Учетные записи пользователей являются принципалами безопасности, то есть объектами идентификации, которым можно предоставить доступ к сетевым ресурсам. Поскольку каждый пользователь является членом групп Пользователи домена (Domain Users) и Прошедшие проверку (Authenticated Users), каждая учетная запись пользователя имеет хотя бы доступ чтения к обширной информации в Active Directory и файловым системам, пока не будут введены 'ограничения списков контроля доступа ACL (Access Control Lists):
Поэтому важно не оставлять учетные записи открытыми. Это означает, что вы должны отконфигурировать политики паролей и аудита, описанные в главе 8, а также процедуры, гарантирующие корректное использование учетных записей. Если учетная запись подготовлена до того, как она станет необходимой, например перед приемом служащих в компанию, отключите учетную запись.
Чтобы отключить учетную запись, в оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers) щелкните имя пользователя правой кнопкой мыши и примените команду Отключить учётную запись (Disable). В командной строке для этого можно использовать команду Dsmod.exe, как показано в примере:
dsmod user 0Н_пользователя -disabled yes
В оболочке Windows PowerShell, описанной в занятии 2, для установки флага требуется использовать обходной метод:
Sobj User=[ ADSI ]" LDAP: //0Н_пользователя"
SobjUser. psbase. InvokeSet( 'Account Disabled', St rue) SobjUser.SetlnfoO
В VBScript все гораздо проще:
Set objUser = GetObject("LDAP://0«_no/Jb3OBare.ro") objUser.AccountDisabled=TRUE
Включение учетной записи означает, выбор параметра yes или по для команды Dsmod.exe:
dsmod user 0Н_пользователя -disabled no
Занятие 3 |
Поддержка пользовательских объектов и учетных записей |
129 |
|
В командах W i n d o w s |
PowerShell замените Strue на $ false, а в VBScript |
||
замените |
TRUE на FALSE. |
|
|
У д а л е н ие |
у ч е т н о й з а п и с и |
пользователя |
|
Когда необходимость в учетной записи отпадает, ее можно удалить из каталога. Однако после удаления учетной записи важно полностью очистить от нее каталог. Вы не можете просто воссоздать новую учетную запись с тем же именем, как у удаленной учетной записи, чтобы получить такое же членство в группах и доступ к ресурсам. Утеря S ID-идентификатора пользователя и сведений о его членстве в группах может привести к серьезным проблемам, если впоследствии потребуется заново реализовать его учетную запись.
Поэтому многие о р г а н и з а ц и и предпочитают поэтапно удалять учетные записи. Вначале учетная запись отключается. По истечении некоторого периода времени она удаляется. По умолчанию в течение 60 дней так называемой жизни памятника в Active Directory поддерживается поднабор свойств учетной записи, среди к о т о р ы х особую ценность представляет SID-идентификатор. По окончании этого периода времени данные учетной записи удаляются из каталога.
Учетную запись также можно ввести в цикл повторно. Если пользователь покидает организацию, обычно его требуется заменить сотрудником, которому следует предоставить аналогичные права доступа к ресурсам, членство в группах и разрешения . Учетную запись можно отключить, пока не будет найдена замена у в о л и в ш е м у с я работнику, а затем переименовать учетную запись для нового служащего. Таким образом, SID-идентификатор предыдущего пользователя, членство в группах и права доступа к ресурсам будут перенесены для нового сотрудника.
Чтобы удалить учетную запись пользователя в Active Directory, укажите этого пользователя и н а ж м и т е клавишу Delete или щелкните правой кнопкой мыши соответствующую учетную запись и примените команду Удалить (Delete). Вам будет предложено подтвердить действие, поскольку при удалении принципала безопасности выполняется множество операций.
Объекты м о ж н о удалить из Active Directory и с помощью DS-команды Dsrm. Эта команда имеет такой синтаксис:
dsrm Ш_попьзователя
Обратите в н и м а н и е на то, что для команды Dsrm не задается класс объекта user, как в случае с другими командами DS.
Для удаления пользователя из Active Directory с помощью Windows PowerShell выполняется подключение к родительскому контейнеру (подразделению) и применяется метод Delete. Это может показаться несколько странным, однако вспомним, что создание пользователя выполняется с помощью метода Create родительского контейнера. Далее приведены две команды Windows PowerShell, позволяющие удалить пользователя:
SobjOU |
= [ ADSI ]" LDAP: //D/V_ подразделения" |
SobjOU. |
DeleteC'.user", "СН=СН_пользователя") |
-) 130 |
Пользователи |
Глава з |
В VBScript используется тот же метод со своим уникальным синтаксисом:
Set objOU = GetObject(LDAP://0Л^_лoдpa:вдeлeшя'•) objOU.Delete "user", "<Х-С11_пользователя"
Перемещение учетной записи
Если вам требуется переместить объект пользователя в Active Directory, можете просто перетащить его в оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Однако д л я большей аккуратности лучше щелкнуть правой кнопкой мыши объект пользователя и применить команду Переместить (Move). Помните, что при перемещении пользователя могут быть изменены применяемые к нему объекты групповой политики G P O (Group Policy Object). Объекты групповой политики описываются в главе 6.
Перемещение пользователя в окне командной строки осуществляется с помощью команды Dsmove. Эта команда имеет такой синтаксис:
dsmove 0Н_пользователя -newparent ОН_конечного_подразделения
Команда Dsmove не указывает класс объекта user. Вместо этого она указывает DN-имя перемещаемого пользователя и отличительное и м я конечного подразделения, в которое будет перемещен пользователь.
Чтобы переместить пользователя с помощью Windows PowerShell, нужно применить метод psbase.MoveTo:
Sobj Use г-[ ADSI ]" LDAP: //0H_ пользова тел я"
SobjUser. psbase. MoveTot "LDAP •• //ОН_конечного_подразделения")
Это еще один пример, доказывающий потребность в обходном пути, поскольку данная версия Windows PowerShell не обеспечена поставщиком Active Directory. В будущем предполагается использовать командлет Move-Item, как в случае с поставщиками файловой системы и реестра, однако пока такой возможности нет.
В VBScript используется методика, которая может показаться старомодной. Вначале выполняется подключение к конечному контейнеру, после чего объект пользователя захватывается и перемещается в данный контейнер. Этот хитрый метод продемонстрирован в следующих двух строках кода:
Set objOU = ве10Ь)есН"1Ш\//ВМ_конечного_подразделения") objOU.MoveHere 'ЮАР://Ш_лользовагеля", vbNullString
Внутренняя константа vbNullString передает значение Null методу MoveHere, указывая, что требуется сохранить текущее общее CN - имя объекта.
Переименование учетной записи
В подразделе «Имена объектов пользователя» мы описали многие имена, связанные с учетной записью пользователя. При переименовании учетной записи пользователя может потребоваться изменить один или несколько атрибутов. Чтобы переименовать пользователя в Active Directory, щелкните его правой кнопкой мыши и примените команду Переименовать (Rename). Введите новое общее имя CN пользователя и нажмите клавишу Enter. Откроется диалоговое окно Переименование пользователя (Rename User), где будет предложено заполнить поля Полное имя (Full Name) (сопоставляется атрибутам сп и name),
Занятие 3 |
Поддержка пользовательских объектов и учетных записей |
131 |
Имя (First Name), Ф а м и л и я (Last Name), Выводимое имя (Display Name), Имя входа пользователя (User Logon Name) и И м я входа пользователя (пред-Win- dows 2000) (User Logon Name (Pre - Windows 2000)).
В командной строке можно использовать команду Dsmod.exe со следующим синтаксисом:
dsmod |
user 0Ы_пользователя |
[-upn UPN_HMn][-fn Имя][-mi Инициалы][-In Фамилия] |
[-dn |
Выводимое_имя][-email |
Электронный_адрес] |
Атрибут sAMAccountName и общее имя (CN) объекта нельзя изменить с помощью команды Dsmod.exe.
Ч т о б ы изменить общее имя ( C N ) объекта в командной оболочке, нужно использовать Windows PowerShell или VBScript. В Windows PowerShell работают две строки кода:
$obj User=[ADSI]"LDAP:/I0Н_пользователя"
SobjUser. psbase. гепат("Си=Новое_имя_СН_пользователя")
Другие атрибуты имени также можно изменить, воспользовавшись методом Put объекта пользователя.
Д л я переименования пользователя в VBScript существует вариация метода MoveHere, описанного в предыдущем разделе:
Set |
objOU |
= |
6еМЬ]еа("\.0АР://0Ы_текущего_лодразделения") |
objOU. MoveHere "LDAP://0Ы_пользователя", "Си=Новое_имя_СИ_пользователя" •
В этих двух строках выполняется подключение к текущему подразделению пользователя и задействуется метод MoveHere подразделения для применения нового CN - имени пользователя.
Практические занятия. Поддержка объектов и учетных записей пользователей
В предложенных далее упражнениях вы выполните распространенные задачи для поддержки пользователей в корпоративной среде. Д л я выполнения упражнений этого занятия нужно выполнить упражнения занятий 1 и 2, а в подразделении Кадры д о л ж н ы быть следующие объекты пользователей:
•Тони Крайней;
•Линда Митчелл;
•Скоттт Митчелл;
•Эприл Стюарт.
У п р а ж н е н и е 1 . П р о с м о т р всех а т р и б у т о в пользователя
В этом упражнении вы откроете редактор атрибутов и с его помощью просмотрите и модифицируете атрибуты пользователя, которые не отображаются в оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
1. Войдите на машину S E R V E R 0 1 как администратор и откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
-) 132 |
Пользователи |
Глава з |
2.В подразделении Кадры щелкните правой кнопкой учетную запись пользователя Тони Крайнена и примените команду Свойства (Properties).
3.Просмотрите содержимое вкладок диалогового окна свойств.
Какие атрибуты отображаются в оснастке? Есть ли среди них атрибуты, которых вы раньше не видели? Отображаются ли какие-либо атрибуты, настройка которых может обеспечить полезную информацию в предприятии?
4.Перейдите на вкладку Телефоны (Telephones) и введите информацию в поле Заметки (Notes). Щелкните ОК.
5.Щелкните меню Вид (View) и установите флажок Дополнительные компоненты (Advanced Features).
6.Вновь откройте свойства пользователя Тони Крайнена и перейдите на вкладку Редактор атрибутов (Attribute Editor).
7.Найдите атрибут info.
Какое значение он содержит?
8.Локализуйте атрибут division, дважды щелкните его, введите значение Дочерняя структура и щелкните ОК.
9.Локализуйте атрибут employeelD, дважды щелкните его, введите значение 104839 и щелкните ОК.
10.Просмотрите другие атрибуты в редакторе атрибутов.
Какие атрибуты отображаются, а какие не видны в оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers)? Могут ли скрытые атрибуты обеспечивать полезную информацию д л я организации?
11.Щелкните ОК, чтобы закрыть диалоговое окно свойств.
Упражнение 2. Управление атрибутами множества объектов
В этом упражнении вы выберете множество объектов и отконфигурируете их свойства.
1.В подразделении Кадры выберите пользователя Скотт Митчелл .
2.Нажмите клавишу Ctrl и выберите пользователей Линду Митчелл и Эприла Стюарт.
Должны быть выбраны три учетные записи.
3. Щелкните правой кнопкой мыши любую из указанных вами учетных записей и выберите Свойства (Properties).
Откроется диалоговое окно с поднабором свойств пользователя, которые можно одновременно применить к множеству пользователей.
4.На вкладке Общие (General) установите флажок Комната (Office) и в соответствующее текстовое поле введите значение Майами.
5.Перейдите на вкладку Учетная запись (Account).
В данном сценарии эти три пользователя работают по будням. Им нельзя входить в сеть в выходные.
Занятие 3 |
Поддержка пользовательских объектов и учетных записей |
1 3 3 |
6. Установите ф л а ж о к Время входа (Logon Hours) и щелкните кнопку Время входа (Logon Hours).
7. Выберите день недели Воскресенье (Sunday) и щелкните опцию Вход запрещен (Logon Denied).
8. Выберите день недели Суббота (Saturday) и щелкните опцию Вход запрещен. Затем щелкните О К .
Кроме того, этим трем пользователям разрешено входить только на конкретные компьютеры на предприятии.
9.Установите ф л а ж о к Ограничения компьютера (Computer Restrictions), а затем щелкните кнопку Вход на (Log On То).
10.Выберите опцию Только на указанные компьютеры (Following Computers).
11.В поле И м я компьютера (Computer Name) введите имя DESKTOPW1 и щелкните кнопку Добавить (Add).
12. П о в т о р и т е этот п р о ц е с с д л я д о б а в л е н и я компьютеров D E S K T O P 1 0 2
и D E S K T O P 1 0 3 . Затем щелкните ОК .
13.На вкладке Адрес (Address) установите флажки Улица (Street), Город (City),
Область, край ( S t a t e / P r o v i n c e ) и Почтовый индекс ( Z I P / P o s t a l Code). Введите в эти поля соответствующие данные.
14. Перейдите на вкладку П р о ф и л ь (Profile) и отконфигурируйте домашнюю папку \ \ s e r v e r 0 1 \ % u s e r n a m e % \ d o c u m e n t s .
15. Перейдите на вкладку Организация (Organizational) и отконфигурируйте имя к о м п а н и и Contoso, Ltd. Щелкните ОК .
16. Откройте объекты пользователей и проверьте, применены ли изменения.
Упражнение 3. Управление атрибутами пользователей с помощью команд DS
В следующем сценарии Линда и Скотт Митчелл переедут из Майами в Сидней. На переезд отведено три недели. В течение этого процесса вы будете управлять их учетными записями .
1. Откройте Windows PowerShell.
Оболочка W i n d o w s PowerShell может запускать исполняемые файлы аналогично командной строке.
2. Выясните, как можно с помощью одной команды изменить атрибут office двух пользователей и отключить эти учетные записи, чтобы их нельзя было использовать во время отсутствия сотрудников. Какую команду следует использовать?
3. Введите следующую команду, после чего нажмите клавишу Enter, dsquery user -name "« Митчелл" | dsmod user - o f f i c e "Сидней" - disabled yes
4.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) откройте учетные записи пользователей и проверьте внесение изменений.
5.Вам нужно записать имена входа пользователей пред-Windows 2000 и имена
| |
UPN. Какую одну команду можно ввести для отображения этой информации? |
134 |
Пользователи |
Глава 3 |
6. Введите команду
dsquery user -name "• Митчелл" | dsget user -samid -upn
и нажмите клавишу Enter. Семья Митчелл прибыла в Сидней. Теперь нужно включить их учетные записи.
7.В Windows PowerShell введите такие строки:
SobjUser = [ADSI]"LDAP://СЫ=Линда Митчелл,Ои=Кадры, DC=contoso, DC=com" SobjUser. psbase. InvokeSet('AccountDisabled' , $ f a l s e )
SobjUser. SetlnfoO
8.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) проверьте включение учетной записи Линды Митчелл.
9. Щелкните правой кнопкой мыши учетную запись пользователя Скотта Митчелла и примените команду В к л ю ч и т ь у ч е т н у ю з а п и с ь ( E n a b l e Account).
Упражнение 4. Смена пароля и разблокировка у ч е т н о й з а п и с и
Переезжая из Майами в Сидней, Скотт Митчелл забыл свой пароль. После включения учетной записи он несколько раз попытался войти с использованием неправильного пароля, в результате чего учетная запись была заблокирована.
Вэтом упражнении вы смените пароль и разблокируете учетную запись.
1.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers) выберите подразделение Кадры.
2.В панели сведений щелкните правой кнопкой мыши учетную запись Скотт Митчелл и примените команду Смена пароля (Reset Password).
3.В поля Новый пароль (New Password) и Подтверждение (Confirm Password) введите пароль.
4.Установите флажок Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon).
5.Установите флажок Разблокировать учетную запись пользователя (Unlock The User's Account). Щелкните ОК.
Резюме
•Для просмотра и модификации всех атрибутов объекта пользователя применяется Редактор атрибутов (Attribute Editor).
•Свойства учетных записей пользователей способны ограничивать рабочие станции, с которых пользователь может входить в сеть, время, в течение которого разрешен вход, а также срок действия учетной записи.
•Атрибуты множества объектов можно одновременно модифицировать с помощью команды Dsmod.exe или путем множественной выборки объектов в оснастке Active Directory — пользователи и компьютеры (Active Directory
Users and Computers). Однако набор свойств, которые можно модифици - ровать с помощью каждого метода, ограничен. Д л я модификации атрибутов объектов также можно использовать сценарий VBScript или Windows PowerShell,
Занятие 3 |
Поддержка пользовательских объектов и учетных записей |
1 3 5 |
•При удалении учетной записи пользователя нельзя создать учетную запись
стем же именем. Кроме того, новая учетная запись не будет принадлежать тем же группам и не получит тот же доступ к ресурсам. Членство в группах и разрешения доступа новой учетной записи нужно конфигурировать заново.
Закрепление материала
Приведенные ниже вопросы можно использовать для проверки знаний, полученных на занятии 3. Эти вопросы есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями к каждому варианту ответа помещены в разделе «Ответы» в конце книги.
1. Вам нужно установить свойство Комната (Office) для десяти пользователей в двух разных подразделениях. В настоящее время для этого свойства установлено значение Майами . Недавно вы нашли грамматическую ошибку и хотите задать значение Майами . Каким образом внести это изменение? (Укажите все варианты.)
A. Выбрать всех десятерых пользователей, держа нажатой клавишу Ctrl,
иоткрыть диалоговое окно Свойства (Properties).
Б.Использовать команды Dsget и Dsmod.
B.Использовать команды Dsquery и Dsmod.
Г.Использовать командлеты Get-Item и Mve-Item.
2. Вы хотите переместить пользователя из подразделения Париж в подразделение Москва. Какое средство можно использовать для выполнения этой задачи?
A. Командлет Move-Item.
Б. Метод MoveHere подразделения Москва. B. Команду Dsmove.
Г.Утилиту Redirusr.exe.
Д. Средство миграции Active Directory (Active Directory Migration Tool).
3.Пользователь сообщил, что он получил сведения о том, что его учетная запись не отконфигурирована д л я текущего компьютера и ему нужен другой компьютер. Что следует сделать, чтобы разрешить пользователю войти на этот компьютер?
A. Щ е л к н у т ь кнопку Вход на (Log On То) на вкладке Учетная запись (Account) свойств учетной записи пользователя.
Б. Щелкнуть кнопку Разрешить присоединение к домену (Allowed to Join Domain) в диалоговом окне Создать компьютер (New Computer).
B.Использовать команду Dsmove.
Г.Предоставить пользователю право локального входа с помощью ло- кальной политики безопасности компьютера.
-) 36 |
Пользователи |
Глава з |
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:
•ознакомиться с резюме главы;
•повторить используемые в главе основные термины;
•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;
•выполнить рекомендуемые упражнения;
•сдать пробный экзамен с помощью тестов.
Резюме главы
•Для управления объектами пользователей на протяжении жизненного цикла учетной записи можно использовать различные инструменты.
•Административные задачи можно автоматизировать с помощью VBScript
иWindows PowerShell. Хотя ни одно из этих средств не обеспечивает решения всех проблем, в VBScript можно найти больше примеров и ресурсов для администрирования Active Directory, чем в Windows PowerShell. Однако будущее администрирования и автоматизации на основе команд все же за оболочкой Windows PowerShell.
•Поскольку пользователи являются принципалами безопасности, нужно
внимательно управлять учетными записями и в ы п о л н я т ь задачи, в том числе смену паролей, разблокировку, включение и отключение учетных записей, перемещение и переименование учетных записей и в конечном счете удаление учетных записей.
• Источник данных с информацией о пользователях м о ж н о |
и м п о р т и р о - |
вать в Active Directory с помощью команды CSVDE, Windows |
PowerShell |
и VBScript. |
|
Основные термины
Запомните перечисленные далее термины, чтобы лучше понять описываемые концепции.
• |
Метод |
В контексте программирования или создания сценариев метод — |
|
это действие, выполняемое с объектом. Например, с п о м о щ ь ю метода |
|
|
SetPassword объекта пользователя можно выполнять безопасную смену |
|
|
пароля. Воспользовавшись методом Create объекта контейнера в Active |
|
|
Directory, можно создать нового пользователя, группу и л и компьютер. |
|
• |
Объект |
В контексте программирования или создания сценариев объект — |
это структура данных, представляющая системный ресурс. Например, объект может представлять учетную запись пользователя в Active Directory. Объекты обладают свойствами или атрибутами, а также методами или действиями.
Практические задания |
37 |
Сценарий. Импорт учетных записей пользователей
В этом сценарии вы примените полученные знания о создании и поддержке учетных записей пользователей. Ответы на вопросы можно найти в разделе «Ответы» в конце книги.
Будучи |
а д м и н и с т р а т о р о м |
крупного университета, вы каждый семестр |
получаете |
файл, содержащий |
и н ф о р м а ц и ю о новых студентах. Ваша работа |
состоит в создании для них учетных записей. Получаемый файл создается в Excel и содержит имя и контактные данные каждого студента. Учетные записи пользователей д о л ж н ы иметь имена входа, выводимые имена и адреса электронной почты в соответствии с установленными в университете соглашениями по именованию . Например, и м я входа состоит из фамилии и первой буквы имени студента. Адреса электронной почты должны соответствовать формату имя.фамилия@домен.ес1и. Руководство попросило создать все учетные записи за четыре недели до начала нового семестра. Раньше вы создавали учетные записи вручную. В этом году учетные записи требуется создавать автоматически.
1. Какой инструмент, описанный в этой главе, следует использовать для импорта учетных записей пользователей из базы данных? Благодаря чему этот инструмент, по вашему мнению, лучше других доступных средств импорта пользователей?
2. Что можно сделать д л я повышения уровня безопасности создаваемых учетных записей с учетом того, что они будут созданы за четыре недели до первого применения?
3. После создания учетных записей вы вспомнили, что не внесли в атрибут company название университета. Все созданные учетные записи новых студентов помечены одним годом. Как можно быстро заполнить этот атрибут с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) или командной строки?
Практические задания
Д л я успешной подготовки к сдаче сертификационного экзамена по темам, представленным в этой главе, выполните предлагаемые далее упражнения.
Автоматизация создания учетных записей пользователей
В упражнении 1 вы используете один метод для создания большого количества учетных записей пользователей. Выполняя упражнении 2, вы по желанию используете д л я этой цели другой метод.
• У п р а ж н е н и е |
1 Создайте таблицу Excel, которая будет выполнять роль |
|||
базы данных |
учетных записей пользователей. В первой строке таблицы |
|||
введите следующие L D A P - и м е н а атрибутов по одному атрибуту в стол- |
||||
бец: |
distinguishedName, |
objectClass, |
givenName, sn, sAMAccountName. Запол- |
|
ните |
ф а й л данными . |
Помните, |
что атрибут givenName представляет имя |
пользователя, а атрибут сп — его фамилию . Используйте инструкции из