Книга Active directory
.pdf• 188 |
Компьютеры |
Глава 5 |
• Чтобы изменить членство компьютера в домене или рабочей группе, нужно быть членом локальной группы Администраторы (Administrators).
В следующих подразделах описаны все эти требования.
Контейнер Computers
Перед созданием объекта компьютера в службе каталогов (первое из трех требований для присоединения компьютера к домену) нужно определиться с контейнером, в который будет помещен этот объект. При создании домена по умолчанию создается контейнер Computers (CN=Computers,...). Этот контейнер — не подразделение, а именно объект класса container. Между контейнером и подразделением существует тонкое, но важно отличие. В контейнере нельзя создать подразделение (то есть не вы можете разбить контейнер Computers на подразделения), и к контейнеру нельзя привязать объект групповой политики. Поэтому для управления компьютерами настоятельно рекомендуется создавать настраиваемые подразделения, а не использовать контейнер Computers.
Создание подразделений компьютеров
Большинство организаций создают как минимум два подразделения д л я объектов компьютеров: одно для учетных записей компьютеров-клиентов (настольные системы, ноутбуки и другие пользовательские системы) и одно д л я серверов. Этн два подразделения дополняют подразделение Domain Controllers, которое создается по умолчанию при установке Active Directory. Компьютеры создаются в каждом из этих подразделений. Между объектами компьютеров в подразделении клиентов и в подразделении серверов или контроллеров домена никакой технической разницы нет — они в любом случае остаются объектами компьютеров. Однако особые подразделения обеспечивают уникальные области управления, чтобы управление объектам клиентов можно было делегировать одной команде, а управление серверами — другой команде администраторов.
Вадминистративно й^мо дел и неизбежно потребуется распределять клиенты
исерверы по разным подразделениям. Многие организации создают в подразделении сервера дочерние подразделения для управления конкретными типами серверов, например одно подразделение для ф а й л о в ы х серверов и серверов печати, второе — для серверов баз данных. Таким образом, команде администраторов каждого типа серверов можно делегировать управление объектами компьютеров в соответствующем подразделении. Аналогичным образом географически распределенные организации с локальными командами поддержки часто разбивают родительское подразделение клиентов на дочерние подразделения для каждого сайта местонахождения. Этот подход позволяет команде поддержки каждого сайта создавать объекты компьютеров в узле д л я клиентов и с помощью этих объектов присоединять компьютеры к домену. Мы привели лишь один пример. Итак, структура подразделений должна соответствовать модели управления, чтобы подразделения обеспечивали отдельные точки управления для делегирования задач администрирования.
На рис. 5-1 показана типичная структура подразделений организации, в которой команды администраторов управляют отдельными типами серверов,
Занятие 1 |
Создание компьютеров и присоединение их к домену |
189 |
|
|
а локальные команды технической поддержки занимаются клиентами в отдельных географических регионах.
||| Active Directory -пользователя и компьютеры |
яшюаштшшштт ЯШщ |
JSJil |
|||||
Консоль |
Действие |
Вид |
Справка |
|
|
||
Шк ф |
: i ! |
•Га |
I X Г |
! 0 ; г ] |
J*. Щ ¥ 2 |
|
|
И |
Acbve Directory - пользователи и |
Иня |
Тип |
] Огнсаже |
|||
Ф |
. С о х р а н е н н ы е запросы |
SJ BOS |
Подразделение |
Бостон |
|||
Б |
conloso.com |
|
|
Шсн1 |
Подразделение |
ч^саго |
|
|
S |
Buiibn |
|
|
ijCFT |
Подразделение |
Кейптаун |
|
ей |
Computers |
|
|
Ш DCA |
Подразделение |
BauftfrTTOH |
|
1*1ШDomain Controlers |
|
DEN |
Подразделение |
Денвер |
||
|
s |
ForeignSecurityPrinapals |
iiJLAS |
Подразделение |
Лас-вегас |
||
|
а |
LostAridFound |
|
|
|
|
|
|
53 ш |
Program Data |
|
|
|
|
|
|
S |
System |
|
|
|
|
|
ШUsers
аш Адм^ктраторы
аш Группы
аш Кадры
шTest
шTestl
аNTDS Quotas
аш Q2ESSS
вш Серверы
Application
шOtrix
ШDatabase
ШExchange Файловые серверы
JJU |
jJ |
Рис. 5-1. Структура подразделений с администрированием клиентов на основе сайтов и серверов на основе ролей
Кроме того, подразделения позволяют создавать различные типы конфигурации с применением разных объектов групповой политики GPO (Group Policy Object), п р и в я з ы в а е м ы х к подразделениям клиентов и серверов. Групповая политика, описанная в главе 6, позволяет указать конфигурацию для подразделения компьютеров путем привязки объектов G P O с инструкциями конфигурации к подразделениям. В организациях клиенты часто распределяются по подразделениям настольных систем и ноутбуков. Затем к соответствующим подразделениям привязываются объекты групповой политики, указывающие конфигурацию настольных систем или ноутбуков.
Если в организации реализовано децентрализованное администрирование на основе сайтов и требуется управлять уникальными типами конфигурации настольных и мобильных систем, вы столкнетесь с дилеммой проектирования. Разбить ли подразделение клиентов на основе администрирования, а затем распределить их по подразделениям настольных систем и ноутбуков, или наоборот — вначале разделить клиенты на настольные и мобильные системы, а уже потом распределить их на основе администрирования? Эти варианты представлены на рис. 5-2. Поскольку изначально подразделения в Active Directory предназначены д л я делегирования административных задач посредством наследования списков контроля доступа ACL (Access Control List), рекомендуется применять методику, показанную на рисунке слева.
190 |
Компьютеры |
|
Глава 5 |
|
|
|
|
В gj К л и е н т |
В Ш |
Клиенты |
|
В S3 80S |
Е |
Ш Ноутбуки |
|
|
Настольные сиаемы |
|
B f f l B O S |
53 |
Ноутбуки |
|
в Ш сн| |
вШсн! |
|
и ЗЗСРТ |
|
|
Настольные сиаемы |
в |
Настольные системы |
в Ш С Р Т |
Ноутбуки |
|
Ш 50 BOS |
|
|
Ш Щ С Н 1 |
|
•й] Настольные системы, |
|
В ШОТ |
|
Ш |
Ноутбуки |
|
|
Рис. 5-2. |
Варианты структуры подразделений |
Делегирование разрешения создания компьютеров
По умолчанию группы Администраторы предприятия (Enterprise Admins), Администраторы домена (Domain Admins), Администраторы (Administrators)
иОператоры учета (Account Operators) получают разрешение создавать объекты компьютеров в любом новом подразделении. Тем не менее, как говорилось в главе 4, рекомендуется строго ограничивать членство в первых трех группах
ине вводить администраторов в группу Операторы учета.
Вместо этого делегируйте разрешение создания объектов компьютеров соответствующим администраторам или персоналу технической поддержки. Разрешение Создание объектов: Компьютер (Create Computer Objects), назначенное группе подразделения, позволяет членам группы создавать объекты компьютеров в этом подразделении. Например, вы можете разрешить персоналу технической поддержки настольных систем создавать объекты компьютеров в подразделении клиентов, а администраторам файловых серверов разрешить создавать объекты компьютеров в подразделении файловых серверов.
ПРИМЕЧАНИЕ
В упражнении 3 в конце этого занятия делегирование создания объектов компьютеров описано пошагово.
Предварительное размещение учетной записи компьютера
Получив разрешение на создание объектов компьютеров, вы можете щелкнуть подразделение правой кнопкой мыши и в меню Создать (New) выбрать команду Компьютер (Computer). Откроется диалоговое окно Новый объект — Компьютер (New Object — Computer), изображенное на рис. 5-3.
Введите имя компьютера в соответствии с соглашениями об именовании в организации и выберите пользователя или группу, которой будет разрешено с помощью этой учетной записи присоединить компьютер к домену. Имена компьютера в полях Имя компьютера (Computer Name) и И м я компьютера (пред-Windows 2000) (Computer Name (Pre-Windows 2000)) должны быть одинаковыми. Настройка отдельных имен требуется крайне редко.
ПРИМЕЧАНИЕ |
Уровень разрешений, предоставляемых при делегировании |
Разрешений, даваемых пользователю или группе, выбранной в окне Новый объект — Компьютер (New Object — Computer), более чем достаточно для присоединения компьютера к домену. Выбранному пользователю или группе также предоставляется право на все модификации объекта компьютера.
Занятие 1 |
Создание компьютеров и присоединение их к домену |
191 |
Создать в: contoso.сот^лиенты
Имя компьютера; : |DES)CrOP123
Имя компьютера {npeo-Windows 2000): |иЫч'!ОР123
Присоединить К домену ЗТОТ ко*ъкттер могут пользователь WIN группа пользователем, указанные ниже.
Имя пользователя или грунты: j„0зо1озо.сот/АдимН1ктраторы/Ге>н^еская поааеол \ Изнеиигь.Т
} Назмачмтв учетной записи crarycnpea-Windows 2000
OK j отмена j Справка ]
Рис. 5-3. Диалоговое окно нового объекта компьютера
Создание учетной записи компьютера перед присоединением к домену называется ее предварительным размещением (prestaging). Преимущество такого приема в том, что учетная запись помещается в соответствующее подразделение, а следовательно, делегируется в соответствии с политикой безопасности, определенной в списке ACL подразделения и подпадающей под действие объекта G P O , привязанного к подразделению еще до присоединения компьютера к домену. П р е д в а р и т е л ь н о е размещение настоятельно рекомендуется по причинам, указанным в подразделе «Причины предварительного размещения объектов компьютеров».
Присоединение компьютера к домену
Предварительно размещая объект компьютера, вы выполняете первые два требования для присоединения компьютера к домену: создаете объект компьютера и назначаете разрешение на присоединение компьютера с таким же именем к домену. Теперь л о к а л ь н ы й администратор компьютера может изменить членство этого компьютера в домене и ввести указанные доменные учетные данные, чтобы успешно завершить процесс. Д л я присоединения компьютера к домену выполните следующие действия.
1. Войдите на компьютер, используя учетные данные, принадлежащие локальной группе Администраторы (Administrators) компьютера.
Только локальные администраторы могут менять членство компьютера
в домене или рабочей группе.
2.Откройте окно свойств системы с помощью одного из следующих методов.
• В Windows ХР и Windows Server 2003: щелкните правой кнопкой значок Мой компьютер ( M y Computer) и примените команду Свойства (Properties).
• В Windows Vista и Windows Server 2008: щелкните правой кнопкой мыши значок Компьютер (Computer) примените команду Свойства
Занятие 1 |
Создание компьютеров и присоединение их к домену |
1 9 3 |
9. Вам будет предложено перезагрузить компьютер. Щелкните ОК, чтобы закрыть окно сообщения.
10.Щелкните кнопку Закрыть (Close) в Windows Vista или OK в Windows XP, чтобы закрыть диалоговое окно свойств системы.
11.Вам вновь будет предложено выполнить перезагрузку компьютера, после которой система станет членом домена и вы сможете войти в нее с помощью учетных данных домена.
Посредством команды Netdom.exe компьютер можно присоединить к домену
вокне командной строки. Далее приведен базовый синтаксис этой команды: netdom join Имя_машины /Domain -.Имя_домена [/0U: "ОИ_подраздепент"] [/\1зог0:Имя_локального пользователя] [/PasswordO:{Локальный_пароль\*) ] [/\15вг0\Имя_пользователя_домена] [/PasswordD:{Доменный_пароль\«} ]
[/SecurePasswordPrompt] [/REBoot[:Время_в_секундах]]
Во-первых, присоединять компьютер к домену в командной строке удобно, поскольку эту команду можно включить в сценарий, выполняющий другие действия. Во-вторых, команду Netdom.exe можно использовать для удаленного присоединения компьютера к домену. В-третьих, Netdom.exe позволяет указать подразделение д л я объекта компьютера. В принципе, параметры команды не требуют объяснений . П а р а м е т р ы UserO и PasswordO представляют учетную запись члена локальной группы Администраторы (Administrators) компьютера рабочей группы. Если указать звездочку (*) вместо пароля, команда Netdom.exe предложит ввести пароль в командной строке. Параметры UserD и PasswordD представляют учетную запись с разрешением на создание объекта компьютера, если учетная запись не размещена предварительно, или для присоединения компьютера к предварительно размещенной учетной записи. Параметр REBoot указывает на необходимость перезагрузить систему после присоединения к домену. По умолчанию назначается временной интервал 30 с. Если для параметра PasswordO или PasswordD указан символ звездочки (*), параметр SecurePasswordPrompt отобразит всплывающее окно ввода учетных данных.
Причины предварительного размещения объектов компьютеров
Еще до присоединения компьютера к домену рекомендуется предварительно разместить учетную запись компьютера. К сожалению, Windows позволяет присоединять компьютеры к домену, не применяя рекомендуемые методики. Вы можете войти на компьютер рабочей группы как локальный администратор и изменить членство компьютера в домене. Затем по требованию система Windows создает объект компьютера в контейнере для компьютеров по умолчанию, разрешает вам присоединить компьютер к этому объекту, после чего присоединяет систему к домену.
Существуют три проблемы, связанные с таким поведением Windows. Вопервых, учетная запись компьютера, автоматически создаваемая системой Windows, помещается в контейнер компьютеров по умолчанию, где большинство предприятий предпочитают не держать свои объекты компьютеров. Во-вторых,
Занятие 1 |
Создание компьютеров и присоединение их к домену |
1 9 5 |
Перенаправление контейнера пользователей по умолчанию
Тот же подход применим и к созданию учетных записей пользователей. По умолчанию, если учетная запись пользователя создается по упомянутому методу, когда подразделение для учетной записи не указывается, объект создается в контейнере пользователей по умолчанию (CN-Users,ОС-Зсшеи)- Посредством команды Redirusr.exe, доступной на контроллерах доменов, можно перенаправлять контейнер по умолчанию в реальное подразделение — субъект делегирования и настройки. Аналогично Redircmp команда Redirusr принимает один параметр: отличительное имя подразделения, которое станет контейнером пользователей по умолчанию.
СОВЕТ К ЭКЗАМЕНУ
Команда Resdircmp.exe перенаправляет контейнер компьютеров по умолчанию в указанное подразделение. Команда Redirsur.exe выполняет то же для контейнера пользователей по умолчанию. Эти две команды могут служить дистракторами, представляющими допустимые (не неправильные) ответы на вопросы о контейнерах компьютеров или пользователей по умолчанию. Отвечая на любой вопрос экзамена, оцените возможные ответы и определите, какие ответы предлагают реальные команды и какие предлагают неправильное применение этих команд.
Ограничение возможности создания компьютеров пользователями
При предварительном размещении учетной записи компьютера разрешения этой учетной записи определяют, кому разрешено присоединить этот компьютер к домену. Если учетная запись не была размещена предварительно, система Windows по умолчанию разрешает любому прошедшему проверку подлинности пользователю создать объект компьютера в контейнере по умолчанию. Система Windows разрешает любому прошедшему проверку подлинности пользователю создавать до десяти объектов компьютеров в контейнере компьютеров по умолчанию. Создатель объекта компьютера по умолчанию получает разрешение присоединить этот компьютер к домену. Таким образом, посредством этого механизма любой прошедший проверку подлинности пользователь может присоединить к домену до десяти компьютеров без явных разрешений.
Квота в десять компьютеров конфигурируется атрибутом ms-DS- MachineAccount Quota домена. Она позволяет любому прошедшему проверку подлинности пользователю присоединить компьютер к домену, не задавая никаких вопросов. Это неприемлемо с точки зрения безопасности, поскольку компьютеры — принципалы безопасности, а создатель принципала безопасности может управлять свойствами этого компьютера. В некотором отношении эта квота аналогична разрешению любому пользователю домена создать десять учетных записей пользователей без какого-либо контроля.
Настоятельно рекомендуется закрыть эту брешь безопасности, чтобы неадминистративные пользователи не могли присоединять компьютеры к домену. Для изменения атрибута ms-DS-MachineAccountQuota выполните следующее.
• 196 |
Компьютеры |
Глава 5 |
1.В группе Администрирование (Administrative Tools) откройте оснастку Редактирование ADSI (ADSI Edit).
2.Щелкните правой кнопкой мыши узел Редактирование ADSI (ADSI Edit)
ипримените команду Подключение к (Connect То).
3.В секции Точка подключения (Connection Point) выберите опцию Выберите известный контекст подключения (Select A Well Known Naming Context), а в раскрывающемся списке выберите Контекст именования по умолчанию (Default Naming Context).
4.Щелкните ОК.
5.Разверните Контекст именования по умолчанию (Default Naming Context).
6.Щелкните правой кнопкой мыши, к примеру, папку домена dc=contoso,dc=com
ипримените команду Свойства (Properties).
7.Выберите атрибут ms-DS-MachineAccountQuota и щелкните кнопку Изменить (Edit).
8.Введите значение 0.
9.Щелкните ОК.
Группе Прошедшие проверку (Authenticated Users) также назначается разрешение на добавление рабочих станций в домеи, но это разрешение модифицировать не потребуется, если изменить значение по умолчанию атрибута ms-DS-MachineAccountQuota.
После присвоения атрибуту ms-DS-MachineAccountQuota значения 0 право присоединять компьютеры к домену будут иметь только те пользователи, которым явным образом делегированы разрешения на присоединение к предварительно размещенным объектам компьютеров или создание новых объектов компьютеров.
Контрольный вопрос
• Какие два параметра определяют возможность присоединения учетной записи компьютера к домену?
Ответ на контрольный вопрос
•Чтобы присоединить компьютер к предварительно размещенной учетной записи, нужно иметь разрешение на присоединение к домену. Если учетная запись не была предварительно размещена, атрибут ms-DS-MachineAccountQuota определяет число компьютеров, которое можно присоединить к домену (в контейнер компьютеров по умолчанию) без явного разрешения.
Устранив эту брешь безопасности, дайте соответствующим администраторам явное разрешение создавать объекты компьютеров в подразделениях, как описано в подразделе «Делегирование разрешения создания компьютеров», иначе появится сообщение об ошибке (рис. 5-4).
Занятие 1 |
Создание компьютеров и присоединение их к домену |
1 9 7 |
*J
При присоединении к домену "caitoso.awn* произошла следующая ошибка:
Компьютер не может быть присоединен к домену. На 5тон домеме гренылвно максимальное допустимое число устных загысен. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.
Рис. 5-4. Сообщение об ошибке, которое появляется при превышении пользователем квоты учетных записей компьютеров по умолчанию, указанной атрибутом ms-DS-MachineAccountQuota
Практические занятия. Создание и присоединение компьютеров
кдомену
Впредложенных далее упражнениях вы примените рекомендуемые методы создания компьютеров и присоединения систем к домену. Вы начнете с создания структуры подразделений д л я новых объектов компьютеров. Затем вы предварительно разместите объекты компьютеров и делегируете разрешение на присоединение компьютеров к домену. Вы делегируете разрешение на создание объектов компьютеров с помощью команды Dsacls.exe и перенаправите контейнер компьютеров по умолчанию.
Перед выполнением этих упражнений в домене contoso.com должны быть созданы следующие объекты:
•подразделение первого уровня Администраторы с дочерним подразделением Группы;
•глобальная группа безопасности Администраторы сервера в дочернем подразделении Группы;
•глобальная группа безопасности Справка в дочернем подразделении Группы;
•подразделение первого уровня Кадры;
•пользователь Д ж е ф ф Ф о р д в подразделении Кадры, который будет членом групп Пользователи домена (Domain Users) и Администраторы сервера (Server Admins);
• пользователь Л и н д а Митчелл в подразделении Кадры, которая будет членом групп Пользователи домена (Domain Users) и Справка.
Кроме того, группа Пользователи домена (Domain Users) должна быть членом группы Операторы печати (Print Operators), которая находится в контейнере Builtin. Таким образом, все пользователи в учебном домене смогут входить на контроллер домена SERVER01. Это нужно для практических занятий в данном руководстве, но в производственной среде разрешать пользователям входить на контроллеры доменов нельзя. Поэтому в производственной среде не следует включать группу Пользователи домена (Domain Users) в группу Операторы печати (Print Operators).