Главная
страница 1
Лекция № 11.

Основы администрирования Active Directory
Ежедневно с помощью службы Active Directory вам придется создавать учетные записи компьютеров, подключать их к доме­ну и т. д. В этой лекции вы изучите средства управления Active Directory и методы управления компьютерами, контроллерами домена и организационными подразделениями (ОП).
Средства управления службами Active Directory
Для управления Active Directory предназначены средства адми­нистрирования и поддержки.
Средства администрирования Active Directory
Перечисленные ниже инструменты реализованы в виде оснасток консоли ММС:

  • Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет управлять пользователями, группами, компьютерами и организационными подразделени­ями (ОП);

  • Active Directory —домены и доверие (Active Directory Domains and Trusts) служит для работы с доменами, деревьями доме­нов и лесами доменов;

  • Active Directory — сайты и службы (Active Directory Sites and Services) позволяет управлять сайтами и подсетями;

  • Результирующая политика (Resultant Set of Policy) использу­ется для просмотра текущей политики пользователя или си­стемы и для планирования изменений в политике.

В Microsoft Windows 2003 Server можно добавить соответ­ствующие оснастки в любую настраиваемую консоль или получить доступ к ним напрямую из меню Администрирование (Administrative Tools). Если на вашем компьютере установле­на другая версия Windows и есть доступ к домену Windows 2003, средства не будут доступны, пока вы их не установите. Вы также можете создать пакет установки ПО для инструментов, которые будут распростра­няться и устанавливаться через Active Directory.

В Windows Server 2003 эти инструменты значительно усовер­шенствованы. Ниже перечислены возможности, которых в Windows 2000 не было. Теперь вы можете:


  • выделять одновременно несколько ресурсов, по очереди щелкая их левой кнопкой при нажатой клавише Ctrl;

  • выделять группу ресурсов, щелкая первый и последний ресурс группы при нажатой клавише Shift;

  • перетаскивать ресурсы в новые положения мышью;

  • редактировать свойства нескольких ресурсов одновременно — выделите нужную группу объектов и щелкните ее правой кнопкой мыши, а затем выберите в контекстном меню нуж­ную команду.

Еще одно средство администрирования — оснастка Схема Active Directory (Active Directory Schema) — позволяет управ­лять и модифицировать схему каталога. Если вы загрузили па­кет AdminPak, для добавления оснастки Схема Active Directory (Active Directory Schema) в консоль ММС нужно выполнить следующие действия.

  1. Введите в командной строке regsvr32 schmmgmt.dll, чтобы за­регистрировать схему Active Directory.

  2. Щелкните кнопку Пуск (Start) и выберите команду Выпол­нить (Run).

  3. Введите mmc в поле Открыть (Open) и щелкните ОК. Откро­ется пустая консоль ММС.

  4. Выберите в меню Консоль (Console) команду Добавить или удалить оснастку (Add/Remove Snap-In). Откроется одно­именное диалоговое окно.

  5. Перейдите на вкладку Изолированная оснастка (Standalone) и щелкните Добавить (Add).

  6. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) выделите оснастку Схема Active Directory (Active Directory Schema) и щелкните Добавить (Add).

7. Щелкните Закрыть (Close), а затем — ОК.


Утилиты командной строки Active Directory

В этом разделе кратко описаны утилиты для управления Active Directory из командной строки. Для получения более подробной справочной информации о команде введите ее с переключателем /?



  • DSADD — добавляет в Active Directory компьютеры, контакты, группы, ОП и пользователей. Для получения справочной информации введите dsadd <имя_обьекта> /?, например dsadd computer /?.

  • DSGET — отображает свойства компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов, заре­гистрированных в Active Directory. Для получения справоч­ной информации введите dsget <имя_обьекта> /?, например dsget subnet /?.

  • DSMOD — изменяет свойства компьютеров, контактов, групп, ОП, пользователей и серверов, зарегистрированных в Active Directory. Для получения справочной информации введите dsmod <имя_объекта> /?, например dsmod server /?.

  • DSMOVE — перемещает одиночный объект в новое располо­жение в пределах домена или переименовывает объект без перемещения.

  • DSQUERY — осуществляет поиск компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов в Active Directory по заданным критериям.

  • DSRM — удаляет объект из Active Directory.

  • NTDSUTIL — позволяет просматривать информацию о сай­те, домене или сервере, управлять хозяевами операций (operations masters) и обслуживать базу данных Active Directory.

Средства поддержки Active Directory

Вот несколько средств, которые помогут настроить, управлять и устранять неполадки Active Directory (табл. 7-1).


Таблица 7-1. Краткий перечень средств поддержки Active Directory _

Средство исполняемого

поддержки файла Описание

Active Directory Ldp.exe Осуществляет в Active Directory

Administration операции по протоколу LDAP

Tool (Lightweight Directory Access Protocol)


Active Directory Replmon.exe Управляет репликацией и отображает
Replication ее результаты в графическом интер-

Monitor фейсе


Directory Dsacls.exe Управляет списками управления

Services Access доступом для объектов Active

Control Lists Directory

Utility
Distributed Dfsutil.exe Управляет распределенной файловой

File System системой (Distributed File System,

Utility DFS) и отображает сведения о ее работе


DNS Server Dnscmd.exe Управляет свойствами серверов, зон

Troubleshooting и записей ресурсов DNS

Tool

Move Tree Movetree.exe Перемещает объекты из одного домена в другой


Replication Repadmin.exe Управляет репликацией и отображает

Diagnostics ее результаты в окне командной

Tool строки
Security Sdcheckl.exe Анализирует распространение, репли-

Descriptor кацию и наследование списков уп-

Check Utility равления доступом
Security Sidwalker.exe Задает списки управления доступом

ID Checker для объектов, в прошлом принадлежавших перемещенным, удаленным или потерянным учетным записям

Windows Domain Netdom.exe Позволяет управлять доменами и
Manager доверительными отношениями из командной строки

Консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers)

Это главное средство администрирования Active Directory, ко­торое используется для выполнения всех задач, связанных с пользователями, группами и компьютерами, а также для управ­ления ОП.



Открытие консоли

Для запуска Active Directory — пользователи и компьютеры (Active Directory Users and Computers) выберите одноименную команду в меню Администрирование (Administrative Tools). Так­же можно добавить Active Directory — пользователи и компьютеры (Active Directory Users and Computers) как оснастку в лю­бую настраиваемую консоль.



  1. В меню Файл (File) консоли ММС выберите команду Доба­вить или удалить оснастку (Add/Remove Snap-In). Откроет­ся одноименное окно.

  2. На вкладке Изолированная оснастка (Standalone) щелкните Добавить (Add).

  3. В окне Добавить изолированную оснастку (Add Standalone Snap-In) выделите Active Directory — пользователи и ком­пьютеры (Active Directory Users and Computers) и щелкните Добавить (Add).

  4. Щелкните Закрыть (Close), а затем — ОК.


Основы работы с консолью

По умолчанию консоль Active Directory — пользователи и ком­пьютеры (Active Directory Users and Computers) работает с до­меном, к которому относится ваш компьютер. Вы можете полу­чить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли (рис. 7-1) или подключиться к дру­гому домену. Средства этой же консоли позволяют просматри­вать дополнительные параметры объектов и осуществлять их поиск.

Получив доступ к домену в консоли Active Directory — поль­зователи и компьютеры (Active Directory Users and Computers), вы увидите стандартный набор папок:

Рис. 7-1. Консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers)



  • Сохраненные запросы (Saved Queries) — сохраненные крите­рии поиска, позволяющие оперативно повторить выполнен­ный ранее поиск в Active Directory;

  • Builtin — список встроенных учетных записей пользовате­лей;

  • Computers — контейнер по умолчанию для учетных записей компьютеров;

  • Domain Controllers — контейнер по умолчанию для контрол­леров домена;

  • ForeignSecurityPrincipals — содержит информацию об объектах из доверенного внешнего домена. Обычно эти объекты созда­ются при добавлении в группу текущего домена объекта из внешнего домена;

  • Users — контейнер по умолчанию для пользователей.

Некоторые папки консоли по умолчанию не отображаются. Чтобы вывести их на экран, выберите в меню Вид (View) коман­ду Дополнительные функции (Advanced Features). Вот эти до­полнительные папки:



  • LostAndFound — «осиротевшие», т. е. потерявшие владельца, объекты;

  • NTDS Quotas — данные о квотировании службы каталогов;

  • Program Data — сохраненные в Active Directory данные для приложений Microsoft;

  • System — встроенные параметры системы.

Вы также можете добавить в дерево консоли папки для ОП.



Соединение с контроллером домена

Соединение с контроллером домена позволяет решать несколько задач. Если после запуска Active Directory — пользователи и ком­пьютеры (Active Directory Users and Computers) вы не видите нуж­ного объекта, следует связаться с контроллером другого домена, чтобы проверить, нет ли этого объекта там. Вы можете также свя­заться с контроллером домена, если подозреваете, что репликация выполняется неправильно. Подключившись, вы выявите несоответ­ствия в недавно обновленных объектах.

Чтобы связаться с контроллером домена, выполните следу­ющие действия.


  1. В дереве консоли щелкните правой кнопкой элемент Active Directory — пользователи и компьютеры (Active Directory Users and Computers) и выберите команду Подключение к контроллеру домена (Connect to Domain Controller). Откроется одноименное окно (рис. 7-2).

Рис. 7-2. Выбор контроллера домена в окне Подключение к контроллеру домена (Connect to Domain Controller)

2. В списке Доступные контроллеры (Available Controllers) пере­числены доступные контроллеры заданного домена. По умолчанию выбран вариант Любой контроллер домена с возможно­стью записи (Any writable domain controller). Если вы сохра­ните этот параметр, то свяжетесь с контроллером, который пер­вым ответит на запрос. При необходимости выберите конкрет­ный контроллер, с которым нужно связаться.

3. Щелкните ОК.


Соединение с доменом

Если у вас есть соответствующие права доступа, в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) разрешается работать с любым доменом в лесу. Вот как связаться с доменом.



  1. В дереве консоли щелкните правой кнопкой элемент Active Directory — пользователи и компьютеры (Active Directory Users and Computers) и выберите Подключение к домену (Connect to Domain).

  2. В одноименном окне отображается текущий или принятый по умолчанию домен. Введите имя нового домена и щелкни­те ОК или щелкните Обзор (Browse), а потом укажите домен в диалоговом окне.



Поиск учетных записей и общих ресурсов

В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) предусмотрена встроен­ная функция поиска учетных записей, общих ресурсов и других объектов каталога в текущем или указанном домене или во всем каталоге.



  1. В дереве консоли щелкните правой кнопкой текущий домен или конкретный контейнер, в котором хотите вести поиск, и выберите команду Найти (Find). Откроется окно Поиск (Find), подобное показанному на рис. 7-3.

  2. Выберите в списке Найти (Find) нужный вариант:




  • Пользователи, контакты и группы (Users, Contacts, and Groups) — учетные записи пользователей и групп, а так­ же контакты, перечисленные в службе каталогов;

  • Компьютеры (Computers) — учетные записи компьютеров, отсортированные по типу, имени и владельцу;

  • Принтеры (Printers) — принтеры, отсортированные по име­ни, модели и свойствам;


Рис. 7-3. Это диалоговое окно предназначено для поиска ресурсов в Active Directory




  • Общие папки (Shared Folders) — общие папки, отсортиро­ванные по имени или ключевому слову;

  • Организационные подразделения (Organizational Units) — ОП, отсортированные по имени;

  • Пользовательский поиск (Custom Search) — углубленный поиск или запрос по протоколу LDAP;

  • Общие запросы (Common Queries) — упрощенный поиск имен и описаний учетных записей, отключенных учетных записей, паролей с неограниченным сроком действия и др.




  1. Задайте область поиска в списке В (In). Если вы до этого щелкнули правой кнопкой контейнер, например Computers, он будет выбран по умолчанию. Чтобы искать все объекты в каталоге, выберите в списке вариант Целиком Active Direc­tory (Entire Directory).

  2. Введя параметры поиска, щелкните Найти (Find Now). Все отвечающие условиями поиска разделы отображаются в ниж­ней части окна (рис. 7-4). Дважды щелкните объект для про­смотра или изменения его свойств. Щелкните объект правой кнопкой для отображения меню команд управления объектом.

Примечание Тип поиска определяет, какие поля и вкладки доступны в диалоговом окне Поиск (Find). Как правило, вы просто вводите имя искомого объекта в поле Имя (Name), но есть и другие параметры поиска. Например, вы можете искать цветной принтер, принтер, который может печатать на обеих сторонах листа, и т. п.

Рис. 7-4. Отвечающие условиями поиска объекты отображаются в нижней части окна


Управление учетными записями компьютеров

Учетные записи компьютеров хранятся как объекты Active Di­rectory и используются для управления доступом к сети и ее ре­сурсам. Вы можете добавлять учетные записи компьютеров в лю­бой контейнер консоли Active Directory — пользователи и ком­пьютеры (Active Directory Users and Computers). Лучше всего использовать контейнеры Computers, Domain Controllers и лю­бые созданные вами ОП.


Примечание Компьютеры с Windows 9x получают доступ к сети как клиенты Active Directory, но у них нет учетных записей компьютера.
Создание учетных записей компьютера на рабочей станции или сервере

Простейший способ создать учетную запись для данного компью­тера — зарегистрироваться на нем и присоединиться к домену, как описано в разделе «Присоединение компьютера к домену или рабочей группе» этой лекции. Когда вы это сделаете, нужная учет­ная запись компьютера автоматически создается и помещается в папку Computers или Domain Controllers. Можно также созда­вать учетные записи компьютеров непосредственно в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers).



Создание учетной записи компьютера

Вот как создать учетную запись компьютера с помощью консо­ли Active Directory — пользователи и компьютеры (Active Direc­tory Users and Computers).



  1. В дереве консоли Active Directory — пользователи и компью­теры (Active Directory Users and Computers) щелкните пра­вой кнопкой контейнер, в котором хотите разместить учетную запись компьютера.

  2. Щелкните Создать (New), а потом — Компьютер (Computer). Будет запущен мастер Новый объект — компьютер (New Ob­ject — Computer), первое окно которого показано на рис. 7-5. Введите имя клиентского компьютера.

Рис. 7-5. Создание новой учетной записи компьютера


3. По умолчанию присоединять компьютеры к домену вправе только члены группы Администраторы домена. Чтобы разрешить это другим пользователям или группам, щелкните Изменить (Change) и укажите их учетные записи.

Примечание Вы можете выбрать любую существующую учетную запись пользователя или группы. Это позволяет делеги­ровать полномочия на присоединение учетной записи компью­тера к домену.


  1. Если с этой учетной записью будут работать системы Win­dows NT, установите флажок Назначить учетной записи ста­тус пред-Windows 2000 компьютера (Assign this computer
    account as a pre- Windows 2000 computer).

  2. Два раза щелкните Далее (Next), а потом — Готово (Fi­nish).

Просмотр и редактирование свойств учетной записи компьютера

  1. Запустите Active Directory — пользователи и компьютеры (Active Directory Users and Computers).

  2. В дереве консоли раскройте узел домена, щелкнув значок «плюс» (+) рядом с его именем.

  3. Найдите контейнер или ОП, в котором расположена учетная запись компьютера.

  4. Щелкните правой кнопкой нужную учетную запись и выбе­рите Свойства (Properties).


Удаление, отключение и включение учетных записей компьютера

Если вам больше не нужна учетная запись какого-то компьюте­ра, вы можете навсегда удалить ее из Active Directory или вре­менно отключить, чтобы активизировать ее позднее.



  1. В меню Администрирование (Administrative Tools) выберите команду Active Directory — пользователи и компьютеры (Active Directory Users and Computers).

  2. В дереве консоли щелкните контейнер, где расположена учет­ная запись компьютера. Затем щелкните правой кнопкой саму запись компьютера.

  3. Выберите одну из команд контекстного меню:

Удалить (Delete), чтобы навсегда удалить учетную за­пись;

  • Отключить учетную запись (Disable Account), чтобы времен­но отключить учетную запись (отключенные записи от­мечены красным крестиком);

  • Включить учетную запись (Enable Account), чтобы разре­шить вновь использовать выключенную учетную запись.


Внимание! Отключить используемую учетную запись невозможно. Следует предварительно выключить компьютер или прервать рабочий сеанс средствами папки Сеансы (Sessions) консоли Управление компьютером (Computer Management).
Сброс заблокированных учетных записей компьютера

У учетных записей компьютеров, как и у учетных записей пользователей, есть пароли. Разница в том, что работа с ком­пьютерными паролями полностью автоматизирована. Каждой учетной записи компьютера назначен простой пароль и пароль закрытого ключа, необходимый для безопасной связи с кон­троллерами домена. Оба пароля по умолчанию меняются каж­дые 30 дней и должны быть синхронизированы. Без синхро­низации компьютеру не удастся зарегистрироваться в домене. Если эта рассинхронизация всё же случилась, сбросьте учетную запись компьютера, выполнив следующие действия.



  1. В меню Администрирование (Administrative Tools) выберите Active Directory — пользователи и компьютеры (Active Di­rectory Users and Computers).

  2. В дереве консоли щелкните контейнер, где расположена учет­ная запись компьютера. Затем щелкните правой кнопкой саму запись.

  3. Выберите Переустановить учетную запись (Reset Account).Если операция удалась, вы увидите окно подтверждения. Щелкните ОК.


Перемещение учетных записей компьютера

Учетные записи компьютера обычно хранятся в контейнерах Computers, Domain Controllers или в созданных вами ОП. Что­бы переместить учетную запись в другой контейнер, в Windows Server 2003 вы можете просто перетащить ее мышью. Если этот способ вам почему-либо не подходит, выполните следующие дей­ствия.



  1. В меню Администрирование (Administrative Tools) выберите Active Directory — пользователи и компьютеры (Active Direc­tory Users and Computers).

  2. В дереве консоли щелкните контейнер, где расположена учет­ная запись.

  3. Щелкните правой кнопкой учетную запись компьютера, кото­рую хотите переместить, и выберите Переместить (Move). Откроется одноименное окно (рис. 7-6).

  4. Щелкните узел домена, а затем — контейнер, куда хотите пе­реместить компьютер. Щелкните ОК

Рис. 7-6. Это диалоговое окно предназначено для перемещения учетных записей компьютеров в контейнеры



Управление компьютерами

Из консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) вы можете открыть кон­соль Управление компьютером (Computer Management) для нуж­ного компьютера, щелкнув правой кнопкой его учетную запись и выбрав команду Управление (Manage).



Присоединение компьютера к домену или рабочей группе

Эта операция позволяет компьютерам с Windows NT/2000/XP и Windows Server 2003 входить в сеть и получать доступ к домену. Компьютеры с Windows 95/98 не нуждаются в учетных записях ком­пьютера и не присоединяются к сети этим методом, а настраивают­ся как клиенты Active Directory

Сначала убедитесь, что на компьютере корректно установлены сетевые компоненты. Это, как правило, происходит одновременно с ОС. Если служ­бы DHCP, WINS и DNS правильно установлены в сети, рабочим станциям не потребуются постоянные IP-адреса или специальная настройка. Единственные обязательные параметры — имя компью­тера и имя домена, которые вы можете задать непосредственно в процессе присоединения к домену.
Совет В Windows Server 2003 право добавлять рабочие станции в домен автоматически предоставлено всем пользовате­лям, зарегистрировавшимся в домене. Однако в целях защи­ты информации количество рабочих станций, которые данный пользователь может добавить в домен, ограничено десятью. Это значение можно изменить посредством утилиты Ldp.exe из набора инструментов поддержки Windows Server 2003 (атрибут ms-DS-MachineAccountQuota), но с точки зрения безопасности делать этого не следует. Надежнее создавать нужные учетные записи компьютеров заранее или назначить избран­ным пользователям специальное разрешение на создание объектов-компьютеров.

Сетевое соединение для компьютера скорее всего уже было настроено во время установки ОС. Также вы могли ранее присо­единить компьютер к домену или рабочей группе. Если так, вам удастся присоединить компьютер к новому домену или рабочей группе (последовательность действий в Windows 2000 Profes­sional, Windows 2000 Server, Windows XP Professional и Windows Server 2003 практически одна и та же).



  1. Войдите в систему на рабочей станции или сервере, который хотите сконфигурировать.

  2. Откройте панель управления и дважды щелкните значок Система (System). В окне свойств системы перейдите на вкладку Имя ком­пьютера (Computer Name), показанную на рис. 7-7.

  3. Щелкните кнопку Изменить (Change).

  4. Чтобы переименовать компьютер, введите новое имя в поле Имя компьютера (Computer Name), например Zeta.

Рис. 7-7. Изменение сетевой идентификации компьютера



  1. Чтобы присоединиться к новому домену, в области Является членом (Member of) выберите вариант Домена (Domain) и введите локальную часть имени домена, например Npdom для домена npdom.samara.cbr.ru.

  2. Чтобы присоединиться к новой рабочей группе, в облас­ти Является членом (Member of) выберите Рабочей груп­пы (Workgroup) и введите имя группы, например TestDevGroup.




  1. Закончив внесение изменений, щелкните ОК. В ответ на за­прос введите имя и пароль учетной записи администрато­ра, имеющего полномочия на такие коррективы. Снова щелк­ните ОК.

  2. Если изменения успешны, вы увидите на экране окно подтверж­дения. Щелкните ОК, чтобы перезагрузить компьютер.

  3. Если изменения не удались, вы увидите сообщение об ошиб­ке, например, что учетная запись уже используется. Послед­нее означает, что вы изменяете имя компьютера, уже подклю­ченного к домену и имеющего в этом домене активные сеан­сы. Закройте приложения, которые могут соединяться с до­меном, например Проводник (Windows Explorer), подключен­ный к общей папке в сети, и повторите процесс.


Управление контроллерами домена, ролями и каталогами

Установка и понижение контроллеров домена

Чтобы создать контроллер домена, нужно установить Active Di­rectory на рядовом сервере. Если затем вы решите, что сервер больше не должен выполнять задачи контроллера, его можно понизить обратно до уровня рядового сервера. Операции установки Active Directory и понижения контроллера схожи. Перед выполнением этих задач проанализируйте их влияние на сеть.

Как вы помните, когда вы устанавливаете контроллер доме­на, требуется передать роли хозяина операций и переконфигури­ровать структуру глобального каталога. Кроме того, перед уста­новкой Active Directory в сети должна работать DNS, а целевой жесткий диск — иметь формат NTFS 5.0 или более поздний. Пе­ред понижением контроллера нужно передать все его ключевые обязанности другим контроллерам домена, т. е. при необходимо­сти переместить глобальный каталог с сервера и передать все его роли хозяина операций.
Примечание В Windows Server 2003 допускается переименование контроллера домена без понижения до рядового сервера. Единственная возможная проблема в том, что во время переименования сервер недоступен пользователям. Не исключено, что вам придется вручную обновить каталог, чтобы восстано­вить соединения с сервером. Переместить контроллер домена в другой домен нельзя. Сначала его придется понизить.
Вот как установить или понизить контроллер домена.


  1. Войдите на сервер, который хотите настроить.

  2. В меню Пуск (Start) выберите команду Выполнить (Run).

  3. Наберите dcpromo и щелкните ОК. Запустится мастер уста­новки Active Directory.

  4. Если компьютер — рядовой сервер, то запускается мастер ус­тановки службы каталогов Active Directory. Вам нужно ука­зать, будет ли это контроллер нового домена или дополнительный контроллер существующего домена.

  5. Если компьютер — контроллер домена, тот же мастер пони­зит его до рядового сервера.


Примечание В Windows Server 2003 появилась возможность установки контроллера домена с резервного носителя. На одном из контроллеров домена создайте резервную копию состояния системы (System State) и восстановите её на другом сервере под управлением Windows Server 2003. При этом вы избавляетесь от необходимости реплицировать базу данных каталога по сети — немаловажное преимущество, если в базе данных тыся­чи записей, а у сети невысокая пропускная способность.
Просмотр и передача доменных ролей

Консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет просмотреть или из­менить расположение доменных ролей хозяина операций. На уровне домена вы можете работать с ролями хозяина относитель­ных идентификаторов (Relative ID, RID), эмулятора PDC и хо­зяина инфраструктуры.


Примечание Для настройки роли хозяина именования служит консоль Active Directory — домены и доверие (Active Directory Domains and Trusts), а для изменения роли хозяина схемы — Схема Active Directory (Active Directory Schema).

Вот как передать роль хозяина операций.



  1. В дереве консоли щелкните правой кнопкой элемент Active Directory — пользователи и компьютеры (Active Directory Users and Computers) и выберите Хозяева операций (Operations Masters). Откроется окно, показанное на рис. 7-8.

Рис. 7-8. Это диалоговое окно позволяет передавать роль хозяев операций




  1. На вкладке RID показано местоположение текущего хозяина относительных идентификаторов. Щелкните Изменить (Change) и выберите новый контроллер домена для передачи роли.

  2. На вкладке PDC показано местоположение текущего эмуля­тора PDC. Щелкните Изменить (Change) и выберите новый контроллер домена для передачи роли.

  3. На вкладке Инфраструктура (Infrastructure) показано мес­тоположение текущего хозяина инфраструктуры. Щелкните Изменить (Change) и выберите новый контроллер домена для передачи роли. Щелкните ОК.

Просмотр и передача роли хозяина именования домена

Консоль Active Directory — домены и доверие (Active Directory Domains and Trusts) позволяет просмотреть или изменить распо­ложение хозяина именования домена в лесу. В ней корневой уро­вень дерева консоли соответствует выбранному домену.

Вот как передать роль хозяина именования домена.


  1. Откройте консоль Active Directory — домены и доверие (Ac­tive Directory Domains and Trusts).

  2. В дереве консоли щелкните правой кнопкой элемент Active Directory — домены и доверие (Active Directory Domains and Trusts) и выберите Хозяин операций (Operations Master). От­кроется окно Изменение хозяина операций (Change Operations Master).

  3. В поле Хозяин именования доменов (Domain Naming Operations Master) отображается текущий хозяин именования домена. Щелкните Изменить (Change), а затем укажите новый контроллер. Роль будет передана этому контроллеру.



  1. Щелкните Закрыть (Close).


Просмотр и передача роли хозяина схемы

Консоль Схема Active Directory (Active Directory Schema) поз­воляет просмотреть или изменить расположение хозяина схемы. Делается это так.



  1. Добавьте оснастку Схема Active Directory (Active Directory Schema) в консоль ММС.

  2. В дереве консоли щелкните правой кнопкой элемент Схема Active Directory (Active Directory Schema) и выберите Изме­нение контроллера домена (Change Domain Controller).

  1. Установите переключатель Любой контроллер (Any Domain Controller), чтобы позволить Active Directory выбрать новый хозяин схемы автоматически, или переключатель Укажите имя (Specify Name), чтобы указать конкретный сервер.

  2. Щелкните ОК.

  3. В дереве консоли щелкните правой кнопкой элемент Схема Active Directory (Active Directory Schema) и выберите Хозя­ин операций (Operations Master).

  4. Щелкните Сменить (Change) и задайте в качестве хозяина другую систему.

  5. Щелкните Закрыть (Close)


Передача ролей с помощью командной строки

В этом разделе рассказано, как передать роли с помощью утили­ты командной строки Ntdsutil.exe.



  1. Локально или с помощью удаленного рабочего стола зареги­стрируйтесь на сервере, которому хотите назначить роль но­вого хозяина операций.

  2. Щелкните кнопку Пуск (Start), выберите команду Выполнить (Run), введите cmd в поле Открыть (Open) и щелкните ОК.

  3. В командной строке введите ntdsutil.

  4. В командной строке утилиты Ntdsutil введите roles. Утилита перейдет в режим обслуживания хозяев операций.

  5. После приглашения Fsmo Maintenance введите connections. Затем после приглашения Server Connections введите connect to server и полное доменное имя текущего хозяина схемы для данной роли, например:

connect to server engdc01.technology.adatum.com

6. Когда соединение будет установлено, введите quit, чтобы по­кинуть приглашение Server Connections, а затем в строке приглашения Fsmo Maintenance введите transfer и идентифи­катор переносимой роли:



  • pdc — роль эмулятора PDC;

  • rid master — роль хозяина относительных идентификато­ров; :

  • infrastructure master — роль хозяина инфраструктуры;

  • schema master — роль хозяина схемы;

  • domain naming master — роль хозяина именования доменов.

7. Введите quit в строках приглашения Fsmo Maintenance и Ntsdutil.
Захват ролей с помощью командной строки

Изредка возникают ситуации, когда обычная передача роли не­возможна. Например, у контроллера домена, который исполнял роль хозяина RID, может выйти из строя жесткий диск. Просто передать роль другому серверу уже не удастся — ее придется за­хватить.


Внимание! Захват роли — это очень серьезное действие, и прибегать к нему следует лишь в безвыходной ситуации, ког­да сервер, исполнявший роль, окончательно и бесповоротно вышел из строя. После захвата роли сервера на нем придет­ся переформатировать жесткий диск.
Вот как захватить роль сервера.

  1. Убедитесь, что сервер, роль которого вы хотите захватить, действительно нельзя вернуть к жизни. Если сервер может продолжать работу, захватывайте его роль, только если вы собираетесь полностью переустанавливать на нем ОС.

  2. Зарегистрируйтесь на сервере, который хотите сделать новым хозяином операций, локально или через удаленный рабочий стол.

  3. Щелкните кнопку Пуск (Start), выберите команду Выполнить (Run), введите cmd в поле Открыть (Open) и щелкните ОК.

  1. В командной строке введите ntdsutil.

  1. В командной строке утилиты Ntdsutil введите roles. Утилита перейдет в режим обслуживания хозяев операций.

  2. После приглашения Fsmo Maintenance введите connections. Затем после приглашения Server Connections введите connect to server и полное доменное имя текущего хозяина схемы для данной роли, например:

connect to server engdc01.technology.adatum.com

7. Когда соединение будет установлено, введите quit, чтобы по­кинуть приглашение Server Connections, а затем в строке приглашения Fsmo Maintenance введите seize и идентификатор захватываемой роли (один из тех, что перечислены в пре­дыдущем разделе).

8. Введите quit в строках приглашения Fsmo Maintenance и Ntdsutil.
Настройка глобальных каталогов

Глобальные каталоги играют в сети важную роль. Иногда их требуется добавлять для ускорения операций поиска, а иногда — удалять. Так, если в сайте два или более глобальных каталога, желательно оставить только один из них. Вот как включить или отключить глобальный каталог.



  1. Откройте консоль Active Directory — сайты и службы (Active Directory Sites and Services).

  2. В дереве консоли раскройте сайт, с которым хотите работать, щелкнув значок «плюс» (+) рядом с его именем.

  3. Раскройте папку Servers и щелкните сервер, который хотите использовать для хранения глобального каталога.



  1. Щелкните правой кнопкой элемент NTDS Settings и выбери­те команду Свойства (Properties).

5. Чтобы активизировать глобальный каталог, установите флажок Глобальный каталог (Global Catalog) на вкладке Общие (General), как показано на рис. 7-9.

6. Чтобы отключить глобальный каталог, сбросьте этот флажок.



Рис. 7-9. Включение или отключение глобального каталога через NTDS-параметры сервера



Настройка кэширования членства в универсальных группах
Кэширование членства в универсальных группах позволяет ре­гистрироваться в системе независимо от доступности сервера глобального каталога. Если в домене Windows Server 2003 раз­решено кэширование членства, любой контроллер домена спосо­бен разрешать запросы на регистрацию, не обращаясь к серверу глобального каталога.

Чтобы разрешить или запретить кэширование членства в уни­версальных группах на сервере Windows Server 2003, который в данный момент не является сервером глобального каталога, выполните следующие действия.



  1. Откройте консоль Active Directory — сайты и службы (Active Directory Sites and Services).

  2. В дереве консоли раскройте нужный сайт.

  3. Раскройте папку Servers и щелкните нужный сервер.

  4. Щелкните правой кнопкой элемент NTDS Settings и выбери­те команду Свойства (Properties).

  5. Чтобы разрешить кэширование, установите флажок Разре­шить кэширование членства в универсальных группах (Enable Universal Group Membership Caching) на вкладке Общие (Ge­neral). Чтобы запретить кэширование, этот флажок нужно сбросить.


Управление организационным подразделением

Как говорилось, организационные подразделения (ОП) помогают организовывать объекты, применять групповую поли­тику в ограниченной области и т. п.


Создание ОП

Обычно ОП создают для отражения функциональной или организационной структуры организации. Вы можете создавать ОП как подгруппы домена или дочерние подразделения внутри су­ществующего ОП.



  1. Откройте консоль Active Directory — пользователи и ком­пьютеры (Active Directory Users and Computers).

  2. В дереве консоли раскройте узел домена, щелкнув значок «плюс» (+) рядом с его именем.

  1. Щелкните правой кнопкой узел домена или папку существу­ющего ОП, в которую хотите добавить ОП. Выберите в кон­текстном меню команду Создать (New), а затем — Подразделение (Organizational Unit).

  2. Введите название ОП и щелкните ОК. Теперь вы можете пе­ремещать в подразделение учетные записи и общие ресурсы.




Просмотр и изменение свойств ОП

  1. Откройте консоль Active Directory — пользователи и ком­пьютеры (Active Directory Users and Computers).

  2. В дереве консоли раскройте узел домена, щелкнув значок «плюс» (+) рядом с именем домена.

  3. Щелкните правой кнопкой нужное ОП и выберите команду Свойства (Properties). Откроется окно свойств, позволяющее просматривать и изменять параметры.


Переименование и удаление ОП

  1. В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) щелкните правой кнопкой ОП, с которым хотите работать.

  2. Чтобы удалить ОП, выберите Удалить (Delete). Затем под­твердите действие, щелкнув Да (Yes).

  3. Чтобы переименовать ОП, выберите Переименовать (Rename). Введите новое имя для ОП и нажмите Enter.


Перемещение ОП

Чтобы переместить ОП в другое положение в пределах домена, в Windows Server 2003 можно просто перетащить его мышью. Если этот способ вам почему-либо не подходит, выполните сле­дующие действия.



  1. В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) щелкните правой кнопкой ОП, которое хотите переместить, и выберите Переместить (Move).

  2. В открывшемся диалоговом окне щелкните узел домена, а за­тем — контейнер, куда хотите переместить ОП. Щелкните ОК.







Смотрите также:
Лекция №11. Основы администрирования Active Directory
261.2kb.
1 стр.
Лекция №10. Служба Active Directory Знакомство с Active Directory
329.56kb.
1 стр.
Лабораторная работа Развертывание инфраструктуры Active Directory в Windows Azure
193.93kb.
1 стр.
Конкурс «Модернизация Active Directory для цв протек»
87.04kb.
1 стр.
Active Directory ldap-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows nt
79.52kb.
1 стр.
Служба каталогов Active Directory техническое описание
479.65kb.
8 стр.
Курс ms-2279 Планирование, внедрение и поддержка инфраструктуры Microsoft Windows Server 2003 Active Directory
32.75kb.
1 стр.
Обзор служб федерации Active Directory в Windows Server 2003 R2
303.25kb.
1 стр.
Курсы повышения квалификации «Администрирование системы»
58.84kb.
1 стр.
Автоматизированная система гибкой настройки службы active
34.6kb.
1 стр.
Программа курса «Администрирование сетей Windows 2000 и Active Directory»
58.36kb.
1 стр.
Техническое задание на создание системы единого каталога на основе Microsoft Active
108.46kb.
1 стр.