Служба каталогов Active Directory

Служба каталогов  Active Directory

Сети, службы каталогов  и контроллеры доменов

Сети были созданы в  один прекрасный день, когда пользователю надоело бегать по коридору, чтобы  обмениваться данными с другим пользователем. В конце концов, цель любой сети — обеспечить удаленный доступ к  ресурсам. Когда-то это были файлы, папки  и принтеры. Со временем к ним  добавились другие ресурсы, наиболее важными  из которых являются электронная  почта, базы данных и приложения. Потребовался механизм, позволяющий отслеживать  ресурсы и предоставляющий как  минимум каталог пользователей  и групп, чтобы предотвратить  нежелательный доступ к ресурсам.

Сети Microsoft Windows поддерживают две модели служб каталогов: рабочую группу (workgroup) и домен (domain). Для огранизаций, внедряющих Windows Server 2003, модель домена наиболее предпочтительна. Модель домена характеризуется единым каталогом ресурсов предприятия — Active Directory, — которому доверяют все системы безопасности, принадлежащие домену. Поэтому такие системы способны работать с субъектами безопасности (учетными записями пользователей, групп и компьютеров) в каталоге, чтобы обеспечить защиту ресурсов. Служба Active Directory, таким образом, играет роль идентификационного хранилища и сообщает «кто есть кто» в этом домене. Впрочем, Active Directory — не просто база данных. Это коллекция файлов, включая журналы транзакций и системный том ( Sysvol ), содержащий сценарии входа в систему и сведения о групповой политике. Это службы, поддерживающие и использующие БД, включая протокол LDAP (Lightweight Directory Access Protocol), протокол безопасности Kerberos, процессы репликации и службу FRS (File Replication Service). БД и ее службы устанавливаются на один или несколько контроллеров домена. Контроллер домена назначается Мастером установки Active Directory, который можно запустить с помощью Мастера настройки сервера (как вы сделаете в упражнении 2) или командой DCPROMO из командной строки. После того как сервер становится контроллером домена, на нем хранится копия (реплика) Active Directory, и изменения БД на любом контроллере реплицируются на все остальные контроллеры домена.

Домены, деревья  и леса

Active Directory не может существовать без домена и наоборот. Домен — это основная административная единица службы каталогов. Однако предприятие может включить в свой каталог Active Directory более одного домена. Когда несколько моделей доменов совместно используют непрерывное пространство имен DNS, они образуют логические структуры, называемые деревьями(tree). Например, домены contoso.com , us.contoso.com и europe.contoso.com совместно используют непрерывное пространство имен DNS и, следовательно, составляют дерево.

Домены Active Directory с разными корневыми доменами образуют несколько деревьев. Они объединяются в самую большую структуру Active Directory — лес (forest). Лес Active Directory содержит все домены в рамках службы каталогов. Лес может состоять из нескольких доменов в нескольких деревьях или только из одного домена. Когда доменов несколько, приобретает важность компонент Active Directory, называемый глобальным каталогом (global catalog): он предоставляет информацию об объектах, расположенных в других доменах леса.

Объекты и организационные  подразделения

Ресурсы предприятия представлены в Active Directory в виде объектов или записей в БД. Каждый объект характеризуется рядом атрибутов или свойств. Например, у пользователя есть атрибуты имя пользователя и пароль, у группы — имя группы и список пользователей, которые в нее входят.

Для создания объекта в  Active Directory откройте консоль derive Directory — пользователи и компьютеры (Active Directory Users And Computers) в группе программ Администрирование (Administrative Tools). Раскройте домен, чтобы увидеть его контейнеры и организационные подразделения. Щелкните контейнер или ОП правой кнопкой и в контекстном меню выберитеСоздать (New) тип_объекта.

Служба Active Directory способна хранить миллионы объектов, включая пользователей, группы, компьютеры, принтеры, общие папки, сайты, связи сайтов, объекты групповой политики (ОГП) и даже зоны DNS и записи узлов. Можно представить, в какой кошмар превратился бы доступ к каталогу и его администрирование без определенной структуры.

Структура — цель введения характерного типа объекта, называемого организационным подразделением (organization unit, OU). ОП представляют собой контейнеры внутри домена, позволяющие группировать объекты, управляемые или настраиваемые одинаковым образом. Однако задача ОП — не только организовать объекты Active Directory, они обеспечивают важные возможности управления, поскольку образуют точку, куда могут делегироваться функции управления и с которой можно связать групповые политики.

Делегирование управления

Делегирование прав управления основано на простой идее, что администраторы на местах должны иметь возможность  сменить пароль для определенного  подмножества пользователей. У каждого  объекта в Active Directory (в нашем случае — у объектов пользователей) есть таблица управления доступом (access control list , ACL), которая определяет разрешения доступа к этому объекту, аналогично тому, как файлы на томе жесткого диска обладают таблицей ACL, определяющей доступ к этим файлам. Например, ACL объекта пользователя будет определять, каким группам разрешено сбрасывать свой пароль. Было бы неправильно заставлять администратора изменять пароль каждого пользователя: проще поместить всех нужных пользователей в одно ОП и разрешить администратору менять в нем пароли. Это разрешение будет наследоваться всеми объектами пользователей в ОП, так что администратор сможет изменить разрешения для всех пользователей.

Сброс паролей пользователей  — один из примеров делегирования  административных полномочий. Существуют тысячи комбинаций разрешений, которые можно было бы назначить группам, отвечающим за администрирование и поддержку Active Directory. ОП позволяют предприятию создавать активное представление административной модели и указывать, кто и что может делать с объектами в домене.

Групповая политика

ОП также используются для объединения одинаково настроенных  объектов — компьютеров и пользователей. Групповая политика Active Directory позволяет централизованно управлять практически любыми конфигурационными изменениями системы. С ее помощью можно указать настройки безопасности, развернуть ПО и настроить поведение ОС и приложений, даже не прикасаясь к компьютерам пользователей. Вы просто реализуете свою конфигурацию в рамках одного ОГП.

ОГП состоят из сотен возможных  конфигурационных параметров: от прав и привилегий пользователя до ПО, которое  разрешено запускать на системе. ОГП подключается к контейнеру внутри Active Directory (обычно к ОП, но может и к доменам или даже сайтам), и после этого его настройки распространяются на всех пользователей и компьютеры внутри этого контейнера.

Важно запомнить, что групповая  политика — средство централизованной реализации конфигурации, что одни настройки применяются только к  компьютерам, а другие — только к  пользователям, и что политика распространяется только на компьютеры и пользователей  из ОП, с которым она связана.

Практическая работа. Установка Windows Server 2003

Цель работы: настроить компьютер для работы под управлением Windows Server 2003. Сделать сервер контроллером домена contoso.com.

Упражнение 1. Установка Windows Server 2003

Это упражнение следует выполнять на компьютере, совместимом с Windows Server 2003. Предполагается, что основной жесткий диск полностью чист. Если диск уже разбит на разделы, можно изменить упражнение согласно конфигурации вашей системы.

1. В BIOS компьютера или контроллера диска задайте загрузку с CD-ROM. Если вы не знаете, как это сделать, обратитесь к соответствующей документации.
2. Вставьте установочный компакт-диск Windows Server 2003 в привод CD-ROM и перезагрузите компьютер.
3. Если основной диск не пуст, появится сообщение с предложением нажать любую клавишу, чтобы загрузить компьютер с компакт-диска. Если вы увидите такое сообщение, нажмите любую клавишу. После загрузки компьютера ненадолго появится сообщение об анализе конфигурации системы, а затем откроется окно Установка Windows (Windows Setup).
4. Если компьютеру нужны специальные драйверы для запоминающих устройств, которых нет в комплекте Windows Server 2003, нажмите F6, когда появится соответствующее сообщение, и предоставьте соответствующие драйверы.
5. Система предложит нажать F2, чтобы выполнить автоматическое аварийное восстановление системы (Automated System Recovery , ASR). Это новая функция Windows Server 2003, пришедшая на смену функции диск аварийного восстановления (Emergency Repair Disk) в предыдущих версиях Windows. Не нажимайте F2 на этом этапе. Установка продолжится. Заметьте: серый индикатор внизу экрана показывает, что выполняется проверка ком пьютера и загрузка файлов. Это необходимо для запуска ОС с минимальным набо ром драйверов.
6. Если вы устанавливаете пробную версию Windows Server 2003, откроется окно Setup Notification, прочитайте информацию и для продолжения нажмите клавишу Enter. Программа установки отобразит окно приветствия. Заметьте, что помимо установки Windows Server 2003 на чистый диск, программу Setup можно использовать для восстановления поврежденной системы Windows.
7. Прочитайте информацию в окне Вас приветствует программа установки (Welcome To Setup) и для продолжения нажмите клавишу Enter. Появится окно Лицензионное соглашение(License Agreement).
8. Прочитайте лицензионное соглашение: для прокрутки текста вниз нажимайте клавишу Page Down.
9. Нажмите F8, чтобы принять условия соглашения. Откроется окно Windows Server 2003 Setup с предложением выбрать область свободного пространства или существующий раздел, куда будет установлена ОС. На данном этапе вы можете создать или удалить разделы на жестком диске. Для выполнения упражнений необходимо создать достаточно большой раздел, на котором поместится ОС (рекомендуется не менее 3 Гб), и минимум 1 Гб нераспределенного пространства. Дальнейшие действия предполагают, что размер вашего диска не менее 4 Гб и он в данный момент чист. Вы можете скорректировать процедуру по ситуации.
10. Нажмите клавишу С, чтобы создать раздел.
11. Чтобы создать раздел размером 3 Гб, в поле Создать раздел размером (МБ) [Create Partition Of Size ( In MB )] введите 3072 и нажмите Enter.
12. Выберите С: Раздел1 [Новый (неформ.)] ( С: Partition 1 [New (Raw)]) и нажмите клавишу Enter. Вам будет предложено выбрать файловую систему для этого раздела.
13. Убедитесь, что установлен переключатель Форматировать раздел в системе NTFS (Format The Partition Using The NTFS File System) и нажмите Enter. Программа установки отформатирует раздел под NTFS, проверит жесткий диск на наличие физических ошибок, которые могут помешать установке, скопирует файлы на жесткий диск и начнет установку. Это займет несколько минут. После этого появится красная строка состояния, отсчитывающая назад 15 секунд до перезагрузки компьютера и перехода процесса установки в графический режим.
14. После завершения установки в текстовом режиме система перезагружается. Не нажимайте клавишу для загрузки с компакт-диска, если появится соответствующее сообщение. Windows Setup запустит графический пользовательский интерфейс, демонстрирующий на левой панели процесс установки. Вы увидите, что отмечены флажки Сбор информации (CollectingInformation), Динамическое обновление (Dynamic Update) и Подготовка к установке (Preparing Installation). Сбор информации был завершен до перехода в графический режим, а динамическое обновпение не применяется при запуске с компакт-диска. Теперь система готовится к установке и копирует файлы на жесткий диск.
15. На странице Язык и региональные стандарты (Regional And Language Options) выберите необходимые параметры и щелкните Далее (Next).

 

Совет Вы сможете изменить региональные параметры после установки ОС, используя элемент Язык и региональные стандарты (Regional And Language Options) из Панели управления.

 

16. Программа установки отобразит страницу Настройка принадлежности программ (Personalize Your Software), где вам будет предложено указать свое имя и название организации.
17. В поле Имя (Name) введите свое имя, а в поле Организация (Organization) — название организации, после чего щелкните Далее (Next). Откроется страница Ключ продукта (Your Product Key).
18. Введите ключ продукта, прилагаемый к установочному компакт-диску Windows Server 2003, и щелкните Далее (Next). Откроется диалоговое окно Режимы лицензирования (LicensingModes) с предложением выбрать режим лицензирования.
19. Убедитесь, что в поле «На сервер». Число одновременных подключений (Per Server Number Of Concurrent Connections) указано 5, и щелкните Далее (Next).

 

Внимание! Такой вариант лицензирования и пять одновременных подключений — рекомендуемые значения для самостоятельного обучения. Вы должны вводить количество одновременных подключений согласно приобретенной лицензии. Также можно выбрать вариант «На устройство или на пользователя» (Per Device Or Per User).

 

Откроется страница Имя компьютера и пароль администратора (Computer Name And Administrator Password). Заметьте, что программа установки предлагает имя компьютера на основе названия вашей организации. Если вы оставили это поле пустым, программа установки сгене рирует часть имени компьютера, используя ваше имя.

20. В поле Имя компьютера (Computer Name) введите Server01. Имя компьютера отображается заглавными буквами независимо от того, в каком регистре вы его вводите. В практических упражнениях всего курса будет упоминаться Server01.

 

Внимание! Если ваш компьютер подключен к сети, посоветуйтесь с сетевым администратором, прежде чем назначать имя.

 

21. В полях Пароль администратора (Administrator Password) и Подтверждение пароля (Confirm Password) введите сложный пароль для учетной записи Администратор (Administrator) (такой, который нельзя просто угадать). Запомните его, поскольку при выполнении большинства практических упражнений курса вы будете входить в систему под учетной записьюАдминистратор.

 

Внимание! Если вы устанавливаете Windows Server 2003 вручную, то не сможете пе рейти к последующим шагам, пока не введете пароль администратора, удовлетворяющий требованиям сложности. Допускается ввести пустой пароль, хотя это крайне нежелательно.

 

Если на сервере установлен модем, откроется диалоговое окно Сведения о модеме (Modem Dialing Information).

22. Введите междугородний телефонный код вашей местности и щелкните Далее (Next). Откроется страница Настройка времени и даты (Date And Time Settings).
23. Введите точную дату, время и часовой пояс и щелкните Далее (Next).

 

Внимание! Работа служб Windows Server 2003 зависит от настроек даты и времени. Убедитесь, что дата и время заданы точно и указан правильный часовой пояс для вашей местности.

 

24. На странице Сетевые параметры (Networking Settings) выберите Обычные параметры (Typical Settings) и щелкните Далее (Next). Откроется страница Рабочая группа или домен (Workgroup Or Computer Domain).
25. Убедитесь, что выбран первый вариант, а имя группы — Workgroup, после чего щелкните Далее (Next). Программа Setup установит и настроит остальные компоненты ОС. После завершения установки компьютер автоматически перезагрузится, и откроется диалоговое окно Операционная система Windows (Welcome To Windows).
26. Нажмите Ctrl + Alt + Delete, чтобы инициировать вход в систему, и введите пароль, который вы задали для учетной записи Администратор ( Administrator ).

 

Примечание Некоторые редакции Windows Server 2003 требуют активации через Интернет или по телефону в течение 14 дней после установки. Лицензию на Windows Server 2003 не требуется активировать, если она приобретена в рамках одной из массовых программ лицензирования Microsoft .

 

27. Щелкните подсказку на системной панели, чтобы начать активацию Windows Server 2003. Следуйте инструкциям на экране.

 

Примечание Для активации через Интернет необходимо подсоединить Server01 к сети и при необходимости указать нужный IP-адрес, маску подсети, шлюз по умолчанию и адрес DNS-сервера в настройках протокола TCP/IP для сетевой платы.

Упражнение 2. Настройка сервера

В этом упражнении вы сделаете сервер первым контроллером в домене Active Directory с именем contoso.com.

 

Примечание Описанный ниже процесс установки предполагает, что Мастер установки Active Directory запускается в изолированной сети. Если вы подключены к сети с другим контроллером домена, процесс установки будет отличаться, и вы можете либо изменить выбор согласно конфигурации вашей сети, либо отключиться от сети перед выполнением этого упражнения.

 

1. Откройте страницу Управление данным сервером (Manage Your Server) в группе программ Администрирование (Administrative Tools).
2. Щелкните Добавить или удалить роль (Add Or Remove A Role). Откроется окно Мастер настройки сервера (Configure Your Server Wizard).
3. Щелкните Далее (Next), мастер попытается определить сетевые параметры.
4. Щелкните Типовая настройка для первого сервера (Typical Configuration For A First Server), а затем Далее ( Next ).
5. В поле Имя домена в Active Directory (Active Directory Domain Name) введите contoso.com.
6. Убедитесь, что в поле NetBIOS- имя домена (NetBIOS Domain Name) указано CONTOSO, и щелкните Далее (Next).
7. Убедитесь, что окно Сводка выбранных параметров (Summary Of Selections) соответствует показанному на рис. 1-3, и щелкните Далее (Next).    
   Рис. 1-3. Окно Сводка выбранных параметров мастера настройки сервера
8. Мастер напомнит, что система будет перезагружена, и попросит закрыть все открытые программы.
9. Щелкните Да (Yes).
10. После перезагрузки войдите в систему как Администратор (Administrator).
11. Мастер настройки сервера резюмирует установку (рис. 1-4).
12. Щелкните Далее (Next), а затем Готово (Finish).
13. Откройте консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Убедитесь, что домен contoso.com создан: раскройте его и найдите учетную запись компьютера для Server01 в ОП Domain Controllers.