Планирование числа пользователей контроллеров доменов.

Сегодня альтернативы Windows для корпоративных серверов продолжают увеличивать свою рыночную долю, и лидером в этом является ОС Linux. Однако факт заключается и в том, что многие пользователи по-прежнему придерживаются Windows для сетевых приложений, как знакомого (и часто не очень любимого) компаньона.

На самом деле, многие пользователи уже связали в сеть два или более компьютера под Windows. Подобное происходит, скажем, когда необходимо обеспечить общий доступ в Интернет через DSL-маршрутизатор. Поэтому многие пользователи уже знакомы с такими простыми задачами, как обеспечение общего доступа к каталогу, принтеру или подключению к Интернету.

Впрочем, цветастая оболочка Windows не всегда столь проста в настройке, как может показаться вначале. Как только вы переходите от простого использования каких-либо функций к их предложению по сети, возникает множество "подводных камней", о которых просто необходимо знать. Сегодня самым эффективным серверным инструментом в мире Microsoft является Windows Server 2003, который выпускается в трёх вариантах (Web, Standard и Enterprise).

Мы приобрели диск со стандартной версией Windows Server 2003 и приготовились выполнить всю основную работу по развёртыванию сети. В ходе нашей статьи мы уделим особое внимание реализации Active Directory, поскольку эта служба каталога является просто необходимой для многих высокоуровневых серверных приложений, включая сервер электронной почты Exchange 2003.

На чём делать сервер? Серверное "железо"

Сервер не всегда должен иметь два процессора Xeon с дорогой памятью ECC и 64-битными слотами PCI-X, как показано на иллюстрации. Для дома или небольшого офиса вполне достаточно сервера на Pentium 4 или Athlon с достаточным объёмом памяти и массивом RAID для защиты от краха жёсткого диска.

В принципе, в роли сервера Windows может работать любой компьютер с условием, что он удовлетворяет минимальным требованиям. В то же время, выполняемые задачи налагают свои специфические требования. К примеру, серверы баз данных или почты очень чувствительны к оперативной памяти, поэтому сервер нужно оснастить немалым её количеством. Для файлового сервера важны производительность и объём жёсткого диска.

Если некоторые пользователи не жалеют денег и могут позволить себе машины с четырьмя процессорами Itanium, Opteron или Xeon из-за требований каких-то специфических приложений, то на серверном рынке наиболее распространены системы с одним и двумя процессорами . Сегодня постепенно набирают популярность процессоры AMD Opteron, хотя самым распространённым выбором для малых серверов является Intel Xeon.

В качестве шлюза (default gateway) мы указали IP-адрес нашего DSL-маршрутизатора, поскольку сервер должен иметь доступ в Интернет. В качестве DNS-сервера мы тоже указали маршрутизатор.

Развёртывание Active Directory

Служба каталога Active Directory (AD) в Windows 2000 Server и Windows Server 2003 содержит информацию обо всех ресурсах, необходимых для работы в сети. Она включает соединения, приложения, базы данных, принтеры, пользователей и группы. Microsoft вполне конкретно указывает, что Active Directory обеспечивает стандартный путь для указания, описания, управления и доступа к ресурсам.

Active Directory по умолчанию не устанавливается, поскольку она не является обязательной для простых серверных задач. Но, по мере того, как сервер начинает заниматься всё большим количеством задач, AD становится всё более и более важной. Дополнительные компоненты, типа почтового сервера Exchange Server от Microsoft, к примеру, требуют полнофункциональной Active Directory.

Команда dcpromo позволяет превратить обычный сервер в контроллер Active Directory. Процесс отнимает около десяти минут, и здесь мы вкратце его опишем.

Мы предполагаем, что других серверов в вашей сети нет, и поэтому нам нужен контроллер для новой инфраструктуры Active Directory.

После этого мы должны определить, будет ли новый домен AD интегрирован в существующую систему.

Active Directory использует свою собственную базу данных, чтобы наиболее эффективно работать с информацией. Поскольку ваше окружение может быстро наращиваться, а сервер может получать дополнительные задачи, базы данных и файлы журнала лучше размещать на раздельном жёстком диске, чтобы системная производительность была максимально высока.

Папка SYSVOL является ещё одной особенностью Active Directory, поскольку её содержимое дублируется всеми контроллерами Active Directory в домене. Она содержит скрипты входа в систему, групповые политики и другие опции, которые должны быть доступны на всех серверах. Конечно же, расположение этой папки можно менять.

Эта опция будет важна, только если у вас есть компьютеры Windows NT с доменной структурой.

Во время установки мастер AD будет жаловаться, что DNS-серверы не запущены. Поэтому необходимо установить и его.

Установка DNS-сервера

Система DNS (Domain Name Service) является ахиллесовой пятой структуры Active Directory. Поскольку сетевые коммуникации в целях доступности осуществляются по именам (скажем, www.thg.ru), должна существовать система преобразования имён в IP-адреса - и наоборот. Прямые запросы преобразовывают имя в IP-адрес , а обратные - IP-адрес в имя.

Установка сервера DNS происходит быстро (иллюстрация выше), правда сразу он обычно не работает.

Так работает обратный запрос. Источник: Microsoft.

Довольно важно добавить зону обратного преобразования (Reverse Lookup Zone). Тогда DNS-сервер сможет выдавать имена на основе IP-адресов.

Для наших нужд потребуется первичная зона (primary zone), поскольку мы желаем полностью обслуживать локальную сеть этим DNS-сервером. Важно выбрать опцию интеграции с Active Directory в нижней части окна.

Конечно же, нам нужно ввести адресное пространство для локальной сети . В данном случае идентификатор сети будет 192.168.1.x. В качестве маски подсети выбрана 255.255.255.0, при этом сеть может содержать 254 компьютера. Этого количества будет достаточно для дома или малого офиса. Переход на маску 255.255.0.0 увеличит количество компьютеров до 64 516.

Нам нужны только безопасные динамические обновления зоны. Ручные обновления отнимают слишком много сил.

После подтверждения будет создана зона обратного преобразования.

Наконец, нам понадобится запись PTR на нашу подсеть 192.168.1.0.

Здесь необходимо задать полное доменное имя сервера. В нашем случае это будет testserver.testdomain.com.

Лучшим способом проверки правильной настройки DNS являются утилиты nslookup и ping. Поскольку мы планируем выходить и в Интернет, необходимо проинформировать DNS-сервер, как разрешать запросы на другие имена.

Для простоты мы просто ввели IP-адрес нашего DSL-маршрутизатора в качестве DNS forwarder. Наш сервер будет автоматически перенаправлять запросы к серверу DNS провайдера.

10 советов по обеспечению безопасности Active Directory

Сразу скажу, что служба Брандмауэр Windows/Общий доступ к Интернету (ICS) должна быть отключена.

Итак, приступим к установке:

Пуск – Программы – Администрирование – Маршрутизация и удаленный доступ (Routing and Remote Access). В контекстном меню выбираем пункт Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access)

Появляется Мастер настройки сервера маршрутизации и удаленного доступа. Этот мастер позволяет вам выбрать различные конфигурации для Routing and Remote Access (RRAS). RRAS может быть настроен как вы захотите, но Microsoft включил несколько шаблонов, чтобы сделать процесс настройки для основных типов установки проще. Но мы выберем Особая конфигурация (Custom configuration)

Выбираем NAT и основной брандмауэр и Маршрутизация ЛВС (NAT and basic firewall и LAN routing)

В конце нажимаем Готово (Finish) на вопрос Хотите запустить службу? (Do you want to start the service?) Нажимаем Да (Yes)

Далее переходим к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Для работы NAT необходимо добавить публичный (подключенный к Интернет) и приватный (локальный) интерфейс. В контекстном меню выбираем Новый интерфейс (New Interface)

В списке интерфейсов выбираем интерфейс, подключенный к Интернету в нашем случае это LAN_1

В появившимся окне, выбираем пункт Общий интерфейс подключен к Интернету (Public interface connected to the Internet) и ставим галочку Включить NAT на данном интерфейсе (Enable NAT on this interface)

Снова идем к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall), в контекстном меню выберите Новый интерфейс (New Interface). В появившимся окне выберите интерфейс локальной или публичной сети

Оставляем это окно без изменений (по умолчанию выбрано Частный интерфейс подключен к частной сети (Private interface connected to private network)).

Нажимаем OK.

Настройка NAT

Итак, сетевые интерфейсы мы установили, теперь настроим их.

Первым делом давайте настроим Внешний интерфейс (LAN_1):
Нам необходимо настроить адреса и маску. Переходим к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Выбираем контекстное меню LAN_1, идем в Свойства (Prefences). Появится окно с вкладками, выбираем Пул адресов (Address Pool). Далее нужно добавить внешний IP-адрес и маску.

Выходя в Интернет по такой технологии вы будете иметь IP-адрес 10.7.40.154. Есть различные пути настройки, можно каждой машине отдельно резервировать адреса. В резервации можно указывать не один диапазон адресов или не указывать вовсе, тогда любой в локальной сети сможет сидеть в Интернете через сервер.

Настраиваем клиентскую машину

Производительность Remote Desktop Connection можно регулировать, изменяя опции.

Создаём пользователей и группы

Пользователей можно создавать через пункт меню - - . Убедитесь, что вы также добавили права на dial-in для VPN или терминальных служб (или не добавили), а также вписали пользователей в нужные группы.

Создаём общие каталоги

Администраторы всегда могут получить полный доступ к логическим дискам сервера Windows. Обратившись, к примеру, по имени \\testserver\c$ вы получите диск C. Для других же пользователей необходимо создать общие папки с разными разрешениями.

При нажатии правой клавишей на каталог откроется меню, в котором следует выбрать закладку . Здесь можно указать сетевое имя для папки. Если вы не хотите давать каких-либо прав на запись, то по умолчанию все пользователи будут иметь права на чтение. Но мы также хотим дать права и на запись.

Мы добавили пользователя Patrick и дали ему права на чтение и запись. Однако права, которые здесь прописываются, относятся только к уровню сетевого каталога. Необходимо прописать права на уровне файловой системы, что осуществляется в том же окне, в закладке .

Доступ к ресурсам сервера

Самый лёгкий способ доступа к общему каталогу осуществляется через имя ресурса \\testserver\source (в нашем примере). Однако если ресурс будет использоваться часто, то неплохо будет привязать к нему имя диска.

Путь вводится как в Windows Explorer.

Готово! Первый сетевой диск успешно привязан к общему каталогу.

Подготовка к установке сервера Exchange 2003

До установки сервера Exchange 2003 должны быть выполнены несколько задач:

1. Необходимо убедиться в доступности сервера глобального каталога (GC). Если сервер Exchange устанавливается в домене с несколькими сайтами AD, то 2. необходимо удостоверится, что у него будет постоянный доступ к GC.
Убедиться, что на сервере, на котором планируется развернуть Exchange, установлены все необходимые компоненты:

.NET Framework
ASP.NET
Internet Information Services (IIS)
World Wide Web Publishing Service
Simple Mail Transfer Protocol (SMTP) service
Network News Transfer Protocol (NNTP) service

Компоненты, необходимые для установки Exchange

Ещё одним хорошим способом защиты сервера является размещение файлов операционной системы на одном диске (или разделе диска), а файлов компании или приложений на другом. В этом случае, если пользователю-злоумышленнику или хакеру удастся осуществить несанкционированный доступ через дыру в одном из несистемных процессов, то у него будет меньше шансов проникнуть в ядро ОС и разрушить его. Конечно, данный метод не сможет защитить от всех видов атак, однако он является ещё одной полезной мерой по обеспечению безопасности вашего сервера.

Используйте локальные учётные записи для запуска служб

Скачайте и прочитайте Руководство по безопасности Windows Server 2003

выложенное компанией Microsoft в открытый доступ, призвано помочь администраторам провести дополнительные меры по защите своих серверов Windows. От создания базовой политики рядовых серверов (MSBP) и механизмов укрепления безопасности контроллеров домена до проверки угроз и мер противодействия - данное руководство является важным и эффективным инструментом, который должен иметь в арсенале каждый администратор Windows.

Функциональный обзор Active Directory в Windows 2000 Server и Windows Server 2003. Источник: Microsoft.

Служба каталога Active Directory (AD) в Windows 2000 Server и Windows Server 2003 содержит информацию обо всех ресурсах, необходимых для работы в сети. Она включает соединения, приложения, базы данных, принтеры, пользователей и группы. Microsoft вполне конкретно указывает, что Active Directory обеспечивает стандартный путь для указания, описания, управления и доступа к ресурсам.

Active Directory по умолчанию не устанавливается, поскольку она не является обязательной для простых серверных задач. Но, по мере того, как сервер начинает заниматься всё большим количеством задач, AD становится всё более и более важной. Дополнительные компоненты, типа почтового сервера Exchange Server от Microsoft, к примеру, требуют полнофункциональной Active Directory.

Команда dcpromo позволяет превратить обычный сервер в контроллер Active Directory. Процесс отнимает около десяти минут, и здесь мы вкратце его опишем.

Мы предполагаем, что других серверов в вашей сети нет, и поэтому нам нужен контроллер для новой инфраструктуры Active Directory.

После этого мы должны определить, будет ли новый домен AD интегрирован в существующую систему.

Active Directory использует свою собственную базу данных, чтобы наиболее эффективно работать с информацией. Поскольку ваше окружение может быстро наращиваться, а сервер может получать дополнительные задачи, базы данных и файлы журнала лучше размещать на раздельном жёстком диске, чтобы системная производительность была максимально высока.

Папка SYSVOL является ещё одной особенностью Active Directory, поскольку её содержимое дублируется всеми контроллерами Active Directory в домене. Она содержит скрипты входа в систему, групповые политики и другие опции, которые должны быть доступны на всех серверах. Конечно же, расположение этой папки можно менять.

Эта опция будет важна, только если у вас есть компьютеры Windows NT с доменной структурой.

Во время установки мастер AD будет жаловаться, что DNS-серверы не запущены. Поэтому необходимо установить и его.

СОДЕРЖАНИЕ

Существует четрые способа установки Active Directory.

• Установка средствами Мастера установки Active Directory (Active Directory Installation Wizard); подходит в большинстве случаев.
• Установка с помощью файла ответов, методом необслуживаемой установки (позволяет удаленно установить AD).
• Установка с применением сетевого или архивного источника (исп. при установке Active Directory на дополнительные контроллеры домена).
• Установка при помощи Мастера настройки сервера (Configure Your Server Wizard). (этот метод применим только при установке Active Directory на первый контроллер домена в сети).

Все четыере пути позволяют назначить компьютер на роль контроллера домена, установить Active Directory, и при желании — установить и настроить DNS-сервер.

Однако первый способ является универсальным, его и рассмотрим подробнее, на примере установки Active Directory на первый контроллер домена в сети…

Установка Active Directory с помощью Мастера установки Active Directory.

1. Для того что бы открыть Мастре установки Active Directory (Active Directory Installation Wizard), введите в диалоговом окне Выполнить (Run) команду dcpromo .
2. После появления страницы мастера под именем Мастер установки Active Directory щелкните кнопку Далее .
3. На странице Проверка совместимости системы также щелкниет кнопку Далее .
4. На странице Тип контроллера домена выберите Контроллер домена в новом домене ; после этого щелкние кнопку Далее.
5. Оказавшись на странице Создать новый домен , выберите пункт Новый домен в новом лесу , после чего щелкните кнопку Далее.
6. В поле Полное DNS-имя нового домена на странице Новое имя домена введите имя домена, и щелкните кнопку Далее .
7. После небольшой задержки появится страница NetBIOS-имя домена . Указанное по умолчанию имя NetBIOS менять не рекомендуется. Щелкните Далее .
8. После открытия страницы Папки базы данных и журналов укажите месторасположение базы данных и журнала Active Directory в текстовых окнах Папка расположения БД и Папка расположения журнала соответственно. Не забывайте о том, что базу данных и файл журнала рекомендуется размещать на отдельных жестких дисках с файловой ситсемой NTFS. Щелкниет кнопку Далее.
9. В поле Размещение папки страницы Общий доступ к системному тому нужно указать местоположение папки Sysvol . Как вы понимаете, системный том должен быть размещен в разделе или томе с файловой системой NTFS. Выполнив настройки щелкниет кнопку Далее .
10. Когда на экране появится страница Диагностика регистрации DNS , ознакомтесь с подробными инструкциями диагностического теста. Установите переключатель в одно из трех положений (в нашем случае DNS в сети еще не настроен, поэтому выбираем второй вариант). Жмем Далее .
11. Оказавшить на странице Разрешения , выберите все необходимые стандартные разрешения для объектов пользователей и групп, после чего щелкните Далее .
12. В текстовом поле Пароль режима восстановления страницы Пароль режима восстановления служб каталогов введите пароль учетной записи администратора, предназначенный для ситуации запуска компьютера в режиме восстановления службы каталогов. Подтвердив пароль нажмите Далее .
13. На странице Сводка перечисленны все выполненные к настоящему моменту настройки. Ознакомившись с их списком, щелкните Далее . (Процесс настройки мастером компонентов Active Directory занимает некоторое время. Если на компьютере в настройках не установлен статический IP адресс, то появится запрос это сделать.
14. После завершения работы мастера появится сраница Завершение работы мастера установки Active Directory . Щелкните кнопку Готово и сразу после этого — Перезагрузить сейчас .

Для централизованного управления факультетской сетью необходимо создать домен на основе Microsoft Windows Server 2003.

Примечание . В процессе установки может потребоваться вставить в дисковод установочный компакт-диск Windows Server 2003. Можно использовать физический компакт-диск или iso -образ установочного диска операционной системы.

Задание 1. Установить на сервере службу каталога Active Directory, создать домен mydomain.ru.

Указания к выполнению

1. Запустите мастер установки Active Directory Start – Run – dcpromo.

2. Следуя шагам мастера установки, выберите следующие параметры установки:

В окне Domain Controller Type (Тип контроллера домена) – переключатель Domain controller for a new domain (Контроллер домена в новом домене);

В окне Create New Domain (Создать новый домен ) – переключатель Domain in a new forest (Домен в новом лесу );

В окне Install or Configure DNS (Установка или настройка DNS ) – переключатель No, just install and configure DNS on this computer (Нет, DNS уже установлена и настроена на этом компьютере ), если служба DNS уже установлена на сервере, или Yes, I will configure the DNS client (Да, я буду конфигурировать клиента DNS) ;

В окне New Domain Name (Новое доменное имя ) наберите mydomain.ru в строке Full DNS Name For New Domain (Полное DNS-имя нового домена );

В окне NetBIOS Domain Name (Доменное имя NetBIOS ) должна появиться запись MYDOMAIN ;

Убедиться, что для размещения базы данных и протокола выбран путь C:\WINDOWS\NTDS , а для размещения каталога SYSVOL указан путь C:\WINDOWS\SYSVOL ;

В окне Permissions (Разрешения ) выберите Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems (Разрешения, совместимые только с операционными системами Windows 2000 или Windows Server 2003 );

В окне Directory Services Restore Mode Administrator Password (Пароль администратора для режима восстановления) введите пароль, который хотите присвоить этой учетной записи сервера Administrator в случае, если компьютер загрузится в режиме Directory Services Restore (Режим восстановления);

В окне Summary (Сводка) изучите список выбранных вами параметров установки и дождитесь завершения процесса установки Active Directory.

3. В окне Completing The Active Directory Installation Wizard (Завершение работы мастера установки Active Directory), щелкните кнопку Finish (Готово), а затем кнопку Restart Now (Перезагрузить компьютер сейчас).

Задание 2 . Просмотреть созданный домен одним из способов.

Указания к выполнению

1-й способ.

Откройте My Network Places – Entire Network – Microsoft Windows Network (Мое сетевое окружение – Вся сеть – сеть Microsoft Windows). Убедитесь, что появилась запись о домене mydomain, в котором содержится один компьютер – Server.

2-й способ.

1 В меню Start – Programs – Administrative Tools (Пуск – Программы – Администрирование) выберите Active Directory Users And Computers (Пользователи и компьютеры Active Directory). Откроется одноименная оснастка.

2 В дереве оснастки дважды щелкните на mydomain.ru (или на имени вашего домена), чтобы увидеть содержимое узла mydomain.ru.

3 В разделе Domain Controllers (Контроллеры домена) дерева оснастки просмотрите название контроллера домена и его полное имя DNS (например, если имя изолированного сервера было server, то после установки домена должно стать server.mydomain.ru).

4 В разделе Users (Пользователи) просмотрите список встроенных учетных записей пользователей и групп пользователей домена.

5 Активизируйте встроенную учетную запись Guest (Гость) и попробуйте войти в систему. Удалась ли попытка сделать это? На контроллеры домена разрешен вход только администраторам домена.

6 Закройте консоль Active Directory Users And Computers.

Задание 3. Проверить работу службы DNS с помощью оснастки DNS.

Указания к выполнению

1. Откройте консоль DNS командой Start – Programs – Administrative Tools – DNS (Пуск – Программы – Администрирование – DNS).

2. В дереве консоли DNS щелкните правой кнопкой по имени вашего сервера и выберите команду Properties (Свойства). Откроется окно свойств SERVER (если у сервера другое имя, то в заголовке окна будет значиться оно).

3. Перейдите на вкладку Monitoring (Наблюдение).

4. В списке Select A Test Type (Выберите тип теста) пометьте флажки A Simple Query Against This DNS Server (Простой запрос к этому DNS-серверу) и A Recursive Query To Other DNS Servers (Рекурсивный запрос к другим DNS-серверам) и щелкните Test Now (Протестировать). В окне свойств Server в списке результатов тестирования должна появиться надпись PASS (Пройден успешно) или FAIL (Не пройден) – в столбцах Simple Query (Простой запрос) и Recursive Query (Рекурсивный запрос). Объясните полученные результаты.

Задание 4. Удалить службу Active Directory.

Указания к выполнению

Запустите мастер установки и удаления Active Directory Start – Run – dcpromo.

Самостоятельная работа

Согласно заданию проекта установите домен с именем faculty.ru, где контроллером домена является server.faculty.ru, IP-адрес которого 192.168.1.1.

Вопросы для самоконтроля

1. Опишите различия между рабочей группой и доменом.

2. Каково основное различие между ОС Windows XP и Windows Server 2003?

3. Возможно ли создать домен в сети, где все компьютеры сети работают под управлением ОС Windows XP?

4. Дайте определение контроллера домена.

5. Перечислите известные Вам встроенные учетные записи пользователей и групп пользователей домена и опишите их назначение.

6. Что означает термин «изолированный» сервер?

7. Опишите различия между рабочей группой и доменом.

8. Почему встроенная учетная запись Guest (Гость), как правило, бывает отключена?

Литература

Лабораторная работа № 4

Тема: Создание и администрирование учетных записей пользователей и групп

Задание 1. Создайте доменную учетную запись декана:

– имеет доступ ко всем ресурсам сети,

– может осуществлять вход на любой компьютер.

Указания к выполнению

1. Выполните команду Start –All Programs –Administrative Tools –Active Directory Users and Computers (Пуск –Программы –Администрирование –Пользователи и компьютеры Active Directory) .

2. Раскройте папку faculty.ru Users (Пользователи) .

3. В меню Action (Действие ) выберите команду New –User (Создать –Пользователь) .

4. Введите необходимые сведения о пользователе. В разделе User logon name (Имя пользователя при входе в систему ) введите dean (декан) . Обратите внимание на то, что при создании доменной учетной записи, в отличие от локальной, после имени пользователя отображается имя домена, отделенное от последнего знаком @ . Таким образом, полное имя пользователя (User logon name) –[email protected] .

5. При определении пароля пользователя обязательно установите флажок User must change password at next logon (Пользователь должен сменить пароль при следующем входе в систему ).

6. Завершите создание учетной записи.

7. В правой панели найдите учетную запись. Дважды щелкните по ней, чтобы внести дополнительные сведения (адрес, организация и т. д.).

8. Убедитесь в том, что декан может входить в систему в любое время (вкладка Account –Logon Hours (Учетная запись –Часы входа) ).

9. Попробуйте войти в домен под учетной записью декана. Почему попытка не удалась?

10. Зарегистрируйтесь в системе как администратор.

11. Посмотрите свойство учетной записи декана, снова выполнив команду Start –All Programs –Administrative Tools –. В окне свойств учетной записи выберите вкладку Member of (Членство в группах ) и добавьте учетную запись декана в глобальную группу Администраторы домена с помощью следующих команд Add… –Advanced… –Find now… (Добавить… –Дополнительно… –Найти…) из полученного списка выберите Domain Admins (Администраторы домена ).

12. Повторите попытку войти в домен под учетной записью декана.

13. После входа в систему под учетной записью администратора смените пароль декана и снова задайте необходимость смены пароля при следующем входе в систему.

Задание 2. В соответствии с требованиями политики безопасности сети, в группу администраторов не рекомендуется включать других пользователей домена, кроме лиц, непосредственно выполняющих функции администрирования. Исключите учетную запись декана из группы администраторов.

Указания к выполнению

1. Выполните команду Start –All Programs –Administrative Tools –Active Directory Users and Computers .

2. Раскройте папку faculty.ru в левой панели окна. Во вложенных папках выберите Users .

3. В правой панели найдите учетную запись. Дважды щелкните по ней, и перейдите на вкладку Member of (Членство в группах). Среди списка групп выберите Domain Admins и нажмите Remove .

Задание 3. Разрешить учетной записи декана осуществлять вход на контроллер домена, не включая его в группу администраторов.

Указания к выполнению

1. Добавить учетную запись декана в группу Print Operators , члены которой могут осуществлять вход на контроллер домена.

2. Войдите в домен под учетной записью декана

3. Предложите другой способ, разрешающий вход на контроллер домена.

Задание 4. Создайте глобальную группу Teachers (Преподаватели ):

– тип группы – группа безопасности;

– преподаватели могут осуществлять вход на любой компьютер сети, кроме сервера;

– для каждого из преподавателей существует собственная учетная запись и настройки, которые конфигурируется лично преподавателем.

Указания к выполнению

1. Выполните команду Start –All Programs –Administrative Tools –Active Directory Users and Computers .

2. Раскройте папку faculty.ru в левой панели окна. Во вложенных папках выберите Users .

3. В меню Action выберите команду New –Group (Новое –Группа) .

4. В поле Group Name (Имя группы ) введите Teachers .

5. В области Group Scope (Область действия группы ) щелкните переключатель Global (Глобальная) , а в области Group Type (Тип группы ) – переключатель Security (Безопасность) .

6. Щелкните OK.

Задание 5. Добавьте в группу Teachers (Преподаватели ) члена группы – учетную запись декана.

Указания к выполнению

1. Убедитесь, что открыта оснастка Active Directory Users and Computers и выбран контейнер Users .

2. В окне свойств группы Teachers выберите вкладку Members (Члены группы ), а затем последовательно кнопки Add… –Advanced… –Find now… из полученного списка выберите учетную запись декана.

3. В окне свойств учетной записи декана найдите информацию о членстве в группе Teachers .

Задание 6. Составьте списки встроенных локальных, глобальных доменных, локальных доменных групп и изучите описание каждой встроенной группы.

Задание 7. Заполните таблицы, содержащие сведения о членах домена. Таблицы должны помогать планировать и создавать учетные записи домена.

Пример заполнения таблиц для группы пользователей Деканат и учетной записи Студент смотрите ниже.

Таблица 8

Планирование групп

Таблица 9

Расписание входа в систему

Таблица 10

Планирование паролей

@ Придумайте не менее трех пользователей из каждой группы и в соответствии с требованиями проекта заполните таблицы 8–10. Внесите таблицы в отчет.

Задание 8. Создайте в соответствии со своими вариантам таблиц 8–10 необходимые по заданию проекта учетные записи пользователей и групп пользователей.

Задание 9. Проведите тестирование учетных записей. Например, измените системное время на 6.00 и попытайтесь войти в домен под учетной записью студента. Попытайтесь сменить пароль данной учетной записи.

Вопросы для самоконтроля

1. Опишите различия между локальной и доменной учетными записями.

2. С какой целью создают группы пользователей?

3. Объясните назначение локальных, глобальных и универсальных групп.

4. Объясните назначение групп безопасности и групп распространения.

5. Дайте определение и приведите примеры для следующих терминов: «права пользователей», «привилегии пользователей», «разрешения доступа пользователей».

6. Перечислите известные Вам встроенные учетные записи пользователей и групп пользователей домена и опишите их назначение.

7. В какую встроенную группу пользователей, отличную от группы администраторов, нужно включить учетную запись, чтобы пользователь мог осуществлять вход на рабочую станцию? Существуют ли другие способы сделать это?

8. Как запретить вход в систему в выходные дни и нерабочее время?

9. Как ограничить срок действия учетной записи?

10. Как отключить учетную запись сотрудника, например, во время его болезни?

12. Как изменить пароль пользователя?

13. Как запретить изменение пароля пользователем?

14. Каковы последствия удаления группы?

Литература

Лабораторная работа №5

Итак мы будем считать что у нас установлен Windows 2003 Server и на нем развернута Active Directory (Далее AD). AD позволяет нам управлять компьютерами и пользователями: устанавливать ограничения или наоборот задавать различные благоприятные условия работы. Теперь самое время перейти к созданию пользователей и компьютеров. В первую очередь необходимо создать пользователя и делать мы это будем в специальной консоли, доступ к которой можно получить так:

• "ПУСК" ? "Насройка" ? "Панель управления" ? "Администрирование" ? "Active Directory - пользователи и компьютеры";
• Или в меню: "ПУСК" ? "Выпонить" введите команду dsa.msc .

Некоторые скажут, что созание пользователей делается с помощью утилиты "Учетные записи пользователей", но после того как мы поставили Active Directory, эта утилита нам более не доступна. Убедиться в этом можно, если посмотреть в Панели управления.

Вам откроется программа "Active Directory - пользователи и компьютеры", состоящая из двух окон. Слева мы видим папки с параметрами, а справа сами параметры находящиеся в этих папках.

На данном этапе нас интересует папка "Users" (Пользователи). Нажимаем на ней правой кнопкой мышки и выбираем "Создать" ? "Пользователь"

Перед нами окно для создания пового пользователя. Задаем необходимые параметры и переходим дальше.

Если все было сделано правильно, то программа выдаст сообщение о создании нового пользователя.

Если Вы увидите окно с сообщением Active Directory: " Windows не удалось установить пароль для Имя пользователя поскольку: Пароль не отвечает требованиям политики. Проверьте минимальную длинну пароля, его сложность, отличие от ранее использованных паролей", то в первую чередь, как понятно из сообщения, проверьте политики.

Для тех кто не помнит, политика безопасности домена настраивается в одноименной утилите. На скриншоте внизу видно как и где задать параметры ограничения для создаваемых паролей.

Давайте теперь зайдем в свойства только что созданного пользователя и посмотрим, что мы можем менять в его настройках.

Вкладка "Член групп": тут можно включить нашего пользователя в различные группы.

Вкладка "Удаленное управление" позволяет разрешить/запретить пользователю подключаться к домену через удаленное соединение.

Еще одна интереная вкладка "Учетная запись", тут можно поменять имя пользователя и задать различные параметры для пароля.

Добавление компьютера в домен

Для подключения компьютера к домену все готово. Компьютеры, работающие под управлением Windows 2000/XP, при подключении к серверу будут добавляться автоматически в группу Computers. Для этого на каждом клиенте нужно выбрать «Мой Компьютер» ? «Свойства» ? «Имя компьютера .

После этого у нас есть два пути: либо вызвать мастера сетевой идентификации, нажав кнопку «Идентификация», либо сразу ввести необходимые параметры, нажав кнопку «Изменить» .

Если в вашей сети есть ПК, работающие под Windows 98, то они подключаются как клиенты Active Directory; в этом случае учетные записи компьютера не создаются. Для их работы необходимо установить программу dsclient.exe, которая имеется на установочном диске Win2k3.

Итак задаем имя домена и нажимаем ОК.

По умолчанию присоединять компьютер к домену имеют право только члены группы «Администраторы домена» . Чтобы разрешить это действие другим пользователям, необходимо на контроллере домена, выбрать необходимого пользователя и сделать его участником группы «Администраторы домена» . О том где это делать написано в начале статьи.

На следующем этапе, как раз и вводим логин и пароль пользователя которому разрешено добавлять компьютер к домену.

Если все хорошо, то мы увидим окно об успешном подключению к домену.

Перезагрузив компьютер мы можемзарегистрироваться в домене. Для этого воводим имя пользователя и пароль, которое мы зарегистрировали ранее на контроллере домена, выбираем домен и заходим.

После первой регистрации наш компьютер появится в контейнере Computers, где нам уже доступно управление данным компьютером.

На этом пока все, продолжение в следующих статьях...{odnaknopka}