Книга Active directory

Когда необходимость в учетной записи отпадает, ее можно удалить из каталога. Однако после удаления учетной записи важно полностью очистить от нее каталог. Вы не можете просто воссоздать новую учетную запись с тем же именем, как у удаленной учетной записи, чтобы получить такое же членство в группах и доступ к ресурсам. Утеря S ID-идентификатора пользователя и сведений о его членстве в группах может привести к серьезным проблемам, если впоследствии потребуется заново реализовать его учетную запись.

Поэтому многие о р г а н и з а ц и и предпочитают поэтапно удалять учетные записи. Вначале учетная запись отключается. По истечении некоторого периода времени она удаляется. По умолчанию в течение 60 дней так называемой жизни памятника в Active Directory поддерживается поднабор свойств учетной записи, среди к о т о р ы х особую ценность представляет SID-идентификатор. По окончании этого периода времени данные учетной записи удаляются из каталога.

Учетную запись также можно ввести в цикл повторно. Если пользователь покидает организацию, обычно его требуется заменить сотрудником, которому следует предоставить аналогичные права доступа к ресурсам, членство в группах и разрешения . Учетную запись можно отключить, пока не будет найдена замена у в о л и в ш е м у с я работнику, а затем переименовать учетную запись для нового служащего. Таким образом, SID-идентификатор предыдущего пользователя, членство в группах и права доступа к ресурсам будут перенесены для нового сотрудника.

Чтобы удалить учетную запись пользователя в Active Directory, укажите этого пользователя и н а ж м и т е клавишу Delete или щелкните правой кнопкой мыши соответствующую учетную запись и примените команду Удалить (Delete). Вам будет предложено подтвердить действие, поскольку при удалении принципала безопасности выполняется множество операций.

Объекты м о ж н о удалить из Active Directory и с помощью DS-команды Dsrm. Эта команда имеет такой синтаксис:

dsrm Ш_попьзователя

Обратите в н и м а н и е на то, что для команды Dsrm не задается класс объекта user, как в случае с другими командами DS.

Для удаления пользователя из Active Directory с помощью Windows PowerShell выполняется подключение к родительскому контейнеру (подразделению) и применяется метод Delete. Это может показаться несколько странным, однако вспомним, что создание пользователя выполняется с помощью метода Create родительского контейнера. Далее приведены две команды Windows PowerShell, позволяющие удалить пользователя:

В VBScript используется тот же метод со своим уникальным синтаксисом:

Set objOU = GetObject(LDAP://0Л^_лoдpa:вдeлeшя'•) objOU.Delete "user", "<Х-С11_пользователя"

Перемещение учетной записи

Если вам требуется переместить объект пользователя в Active Directory, можете просто перетащить его в оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Однако д л я большей аккуратности лучше щелкнуть правой кнопкой мыши объект пользователя и применить команду Переместить (Move). Помните, что при перемещении пользователя могут быть изменены применяемые к нему объекты групповой политики G P O (Group Policy Object). Объекты групповой политики описываются в главе 6.

Перемещение пользователя в окне командной строки осуществляется с помощью команды Dsmove. Эта команда имеет такой синтаксис:

dsmove 0Н_пользователя -newparent ОН_конечного_подразделения

Команда Dsmove не указывает класс объекта user. Вместо этого она указывает DN-имя перемещаемого пользователя и отличительное и м я конечного подразделения, в которое будет перемещен пользователь.

Чтобы переместить пользователя с помощью Windows PowerShell, нужно применить метод psbase.MoveTo:

Sobj Use г-[ ADSI ]" LDAP: //0H_ пользова тел я"

SobjUser. psbase. MoveTot "LDAP •• //ОН_конечного_подразделения")

Это еще один пример, доказывающий потребность в обходном пути, поскольку данная версия Windows PowerShell не обеспечена поставщиком Active Directory. В будущем предполагается использовать командлет Move-Item, как в случае с поставщиками файловой системы и реестра, однако пока такой возможности нет.

В VBScript используется методика, которая может показаться старомодной. Вначале выполняется подключение к конечному контейнеру, после чего объект пользователя захватывается и перемещается в данный контейнер. Этот хитрый метод продемонстрирован в следующих двух строках кода:

Set objOU = ве10Ь)есН"1Ш\//ВМ_конечного_подразделения") objOU.MoveHere 'ЮАР://Ш_лользовагеля", vbNullString

Внутренняя константа vbNullString передает значение Null методу MoveHere, указывая, что требуется сохранить текущее общее CN - имя объекта.

Переименование учетной записи

В подразделе «Имена объектов пользователя» мы описали многие имена, связанные с учетной записью пользователя. При переименовании учетной записи пользователя может потребоваться изменить один или несколько атрибутов. Чтобы переименовать пользователя в Active Directory, щелкните его правой кнопкой мыши и примените команду Переименовать (Rename). Введите новое общее имя CN пользователя и нажмите клавишу Enter. Откроется диалоговое окно Переименование пользователя (Rename User), где будет предложено заполнить поля Полное имя (Full Name) (сопоставляется атрибутам сп и name),

Имя (First Name), Ф а м и л и я (Last Name), Выводимое имя (Display Name), Имя входа пользователя (User Logon Name) и И м я входа пользователя (пред-Win- dows 2000) (User Logon Name (Pre - Windows 2000)).

В командной строке можно использовать команду Dsmod.exe со следующим синтаксисом:

Атрибут sAMAccountName и общее имя (CN) объекта нельзя изменить с помощью команды Dsmod.exe.

Ч т о б ы изменить общее имя ( C N ) объекта в командной оболочке, нужно использовать Windows PowerShell или VBScript. В Windows PowerShell работают две строки кода:

$obj User=[ADSI]"LDAP:/I0Н_пользователя"

SobjUser. psbase. гепат("Си=Новое_имя_СН_пользователя")

Другие атрибуты имени также можно изменить, воспользовавшись методом Put объекта пользователя.

Д л я переименования пользователя в VBScript существует вариация метода MoveHere, описанного в предыдущем разделе:

objOU. MoveHere "LDAP://0Ы_пользователя", "Си=Новое_имя_СИ_пользователя" •

В этих двух строках выполняется подключение к текущему подразделению пользователя и задействуется метод MoveHere подразделения для применения нового CN - имени пользователя.

Практические занятия. Поддержка объектов и учетных записей пользователей

В предложенных далее упражнениях вы выполните распространенные задачи для поддержки пользователей в корпоративной среде. Д л я выполнения упражнений этого занятия нужно выполнить упражнения занятий 1 и 2, а в подразделении Кадры д о л ж н ы быть следующие объекты пользователей:

•Тони Крайней;

•Линда Митчелл;

•Скоттт Митчелл;

•Эприл Стюарт.

У п р а ж н е н и е 1 . П р о с м о т р всех а т р и б у т о в пользователя

В этом упражнении вы откроете редактор атрибутов и с его помощью просмотрите и модифицируете атрибуты пользователя, которые не отображаются в оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers).

1. Войдите на машину S E R V E R 0 1 как администратор и откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).

2.В подразделении Кадры щелкните правой кнопкой учетную запись пользователя Тони Крайнена и примените команду Свойства (Properties).

3.Просмотрите содержимое вкладок диалогового окна свойств.

Какие атрибуты отображаются в оснастке? Есть ли среди них атрибуты, которых вы раньше не видели? Отображаются ли какие-либо атрибуты, настройка которых может обеспечить полезную информацию в предприятии?

4.Перейдите на вкладку Телефоны (Telephones) и введите информацию в поле Заметки (Notes). Щелкните ОК.

5.Щелкните меню Вид (View) и установите флажок Дополнительные компоненты (Advanced Features).

6.Вновь откройте свойства пользователя Тони Крайнена и перейдите на вкладку Редактор атрибутов (Attribute Editor).

7.Найдите атрибут info.

Какое значение он содержит?

8.Локализуйте атрибут division, дважды щелкните его, введите значение Дочерняя структура и щелкните ОК.

9.Локализуйте атрибут employeelD, дважды щелкните его, введите значение 104839 и щелкните ОК.

10.Просмотрите другие атрибуты в редакторе атрибутов.

Какие атрибуты отображаются, а какие не видны в оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers)? Могут ли скрытые атрибуты обеспечивать полезную информацию д л я организации?

11.Щелкните ОК, чтобы закрыть диалоговое окно свойств.

Упражнение 2. Управление атрибутами множества объектов

В этом упражнении вы выберете множество объектов и отконфигурируете их свойства.

1.В подразделении Кадры выберите пользователя Скотт Митчелл .

2.Нажмите клавишу Ctrl и выберите пользователей Линду Митчелл и Эприла Стюарт.

Должны быть выбраны три учетные записи.

3. Щелкните правой кнопкой мыши любую из указанных вами учетных записей и выберите Свойства (Properties).

Откроется диалоговое окно с поднабором свойств пользователя, которые можно одновременно применить к множеству пользователей.

4.На вкладке Общие (General) установите флажок Комната (Office) и в соответствующее текстовое поле введите значение Майами.

5.Перейдите на вкладку Учетная запись (Account).

В данном сценарии эти три пользователя работают по будням. Им нельзя входить в сеть в выходные.

6. Введите команду

dsquery user -name "• Митчелл" | dsget user -samid -upn

и нажмите клавишу Enter. Семья Митчелл прибыла в Сидней. Теперь нужно включить их учетные записи.

7.В Windows PowerShell введите такие строки:

SobjUser = [ADSI]"LDAP://СЫ=Линда Митчелл,Ои=Кадры, DC=contoso, DC=com" SobjUser. psbase. InvokeSet('AccountDisabled' , $ f a l s e )

SobjUser. SetlnfoO

8.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) проверьте включение учетной записи Линды Митчелл.

9. Щелкните правой кнопкой мыши учетную запись пользователя Скотта Митчелла и примените команду В к л ю ч и т ь у ч е т н у ю з а п и с ь ( E n a b l e Account).

Упражнение 4. Смена пароля и разблокировка у ч е т н о й з а п и с и

Переезжая из Майами в Сидней, Скотт Митчелл забыл свой пароль. После включения учетной записи он несколько раз попытался войти с использованием неправильного пароля, в результате чего учетная запись была заблокирована.

Вэтом упражнении вы смените пароль и разблокируете учетную запись.

1.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers) выберите подразделение Кадры.

2.В панели сведений щелкните правой кнопкой мыши учетную запись Скотт Митчелл и примените команду Смена пароля (Reset Password).

3.В поля Новый пароль (New Password) и Подтверждение (Confirm Password) введите пароль.

4.Установите флажок Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon).

5.Установите флажок Разблокировать учетную запись пользователя (Unlock The User's Account). Щелкните ОК.

Резюме

•Для просмотра и модификации всех атрибутов объекта пользователя применяется Редактор атрибутов (Attribute Editor).

•Свойства учетных записей пользователей способны ограничивать рабочие станции, с которых пользователь может входить в сеть, время, в течение которого разрешен вход, а также срок действия учетной записи.

•Атрибуты множества объектов можно одновременно модифицировать с помощью команды Dsmod.exe или путем множественной выборки объектов в оснастке Active Directory — пользователи и компьютеры (Active Directory

Users and Computers). Однако набор свойств, которые можно модифици - ровать с помощью каждого метода, ограничен. Д л я модификации атрибутов объектов также можно использовать сценарий VBScript или Windows PowerShell,

•При удалении учетной записи пользователя нельзя создать учетную запись

стем же именем. Кроме того, новая учетная запись не будет принадлежать тем же группам и не получит тот же доступ к ресурсам. Членство в группах и разрешения доступа новой учетной записи нужно конфигурировать заново.

Закрепление материала

Приведенные ниже вопросы можно использовать для проверки знаний, полученных на занятии 3. Эти вопросы есть на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями к каждому варианту ответа помещены в разделе «Ответы» в конце книги.

1. Вам нужно установить свойство Комната (Office) для десяти пользователей в двух разных подразделениях. В настоящее время для этого свойства установлено значение Майами . Недавно вы нашли грамматическую ошибку и хотите задать значение Майами . Каким образом внести это изменение? (Укажите все варианты.)

A. Выбрать всех десятерых пользователей, держа нажатой клавишу Ctrl,

иоткрыть диалоговое окно Свойства (Properties).

Б.Использовать команды Dsget и Dsmod.

B.Использовать команды Dsquery и Dsmod.

Г.Использовать командлеты Get-Item и Mve-Item.

2. Вы хотите переместить пользователя из подразделения Париж в подразделение Москва. Какое средство можно использовать для выполнения этой задачи?

A. Командлет Move-Item.

Б. Метод MoveHere подразделения Москва. B. Команду Dsmove.

Г.Утилиту Redirusr.exe.

Д. Средство миграции Active Directory (Active Directory Migration Tool).

3.Пользователь сообщил, что он получил сведения о том, что его учетная запись не отконфигурирована д л я текущего компьютера и ему нужен другой компьютер. Что следует сделать, чтобы разрешить пользователю войти на этот компьютер?

A. Щ е л к н у т ь кнопку Вход на (Log On То) на вкладке Учетная запись (Account) свойств учетной записи пользователя.

Б. Щелкнуть кнопку Разрешить присоединение к домену (Allowed to Join Domain) в диалоговом окне Создать компьютер (New Computer).

B.Использовать команду Dsmove.

Г.Предоставить пользователю право локального входа с помощью ло- кальной политики безопасности компьютера.

Закрепление материала главы

Для того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:

•ознакомиться с резюме главы;

•повторить используемые в главе основные термины;

•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;

•выполнить рекомендуемые упражнения;

•сдать пробный экзамен с помощью тестов.

Резюме главы

•Для управления объектами пользователей на протяжении жизненного цикла учетной записи можно использовать различные инструменты.

•Административные задачи можно автоматизировать с помощью VBScript

иWindows PowerShell. Хотя ни одно из этих средств не обеспечивает решения всех проблем, в VBScript можно найти больше примеров и ресурсов для администрирования Active Directory, чем в Windows PowerShell. Однако будущее администрирования и автоматизации на основе команд все же за оболочкой Windows PowerShell.

•Поскольку пользователи являются принципалами безопасности, нужно

внимательно управлять учетными записями и в ы п о л н я т ь задачи, в том числе смену паролей, разблокировку, включение и отключение учетных записей, перемещение и переименование учетных записей и в конечном счете удаление учетных записей.

Основные термины

Запомните перечисленные далее термины, чтобы лучше понять описываемые концепции.

это структура данных, представляющая системный ресурс. Например, объект может представлять учетную запись пользователя в Active Directory. Объекты обладают свойствами или атрибутами, а также методами или действиями.

Сценарий. Импорт учетных записей пользователей

В этом сценарии вы примените полученные знания о создании и поддержке учетных записей пользователей. Ответы на вопросы можно найти в разделе «Ответы» в конце книги.

состоит в создании для них учетных записей. Получаемый файл создается в Excel и содержит имя и контактные данные каждого студента. Учетные записи пользователей д о л ж н ы иметь имена входа, выводимые имена и адреса электронной почты в соответствии с установленными в университете соглашениями по именованию . Например, и м я входа состоит из фамилии и первой буквы имени студента. Адреса электронной почты должны соответствовать формату имя.фамилия@домен.ес1и. Руководство попросило создать все учетные записи за четыре недели до начала нового семестра. Раньше вы создавали учетные записи вручную. В этом году учетные записи требуется создавать автоматически.

1. Какой инструмент, описанный в этой главе, следует использовать для импорта учетных записей пользователей из базы данных? Благодаря чему этот инструмент, по вашему мнению, лучше других доступных средств импорта пользователей?

2. Что можно сделать д л я повышения уровня безопасности создаваемых учетных записей с учетом того, что они будут созданы за четыре недели до первого применения?

3. После создания учетных записей вы вспомнили, что не внесли в атрибут company название университета. Все созданные учетные записи новых студентов помечены одним годом. Как можно быстро заполнить этот атрибут с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) или командной строки?

Практические задания

Д л я успешной подготовки к сдаче сертификационного экзамена по темам, представленным в этой главе, выполните предлагаемые далее упражнения.

Автоматизация создания учетных записей пользователей

В упражнении 1 вы используете один метод для создания большого количества учетных записей пользователей. Выполняя упражнении 2, вы по желанию используете д л я этой цели другой метод.

пользователя, а атрибут сп — его фамилию . Используйте инструкции из