Active Directory – это служба каталогов для семейства ОС Windows. Active Directory
работает на сервере с Windows Server 2003, и этот сервер называется контроллером
домена. Контроллер домена выполняет одну из самых важных ролей – на нем не только работает сама служба Active Directory, но и храниться вся информация об объектах сети.
После того, как вы установили службу каталогов, был создан домен. Домен – это логическое объединение компьютеров, коллективно управляемых с помощью контроллера домена, а так же объекты «пользователь» (соответствуют сотрудникам, которые работают в вашей компании). Объекты «пользователь» нужны для регулирования доступа к сети и общим ресурсам. Контроллеры домена хранят данные каталога и выполняют службы аутентификации (проверки подлинности) в рамках домена.
Каждый домен имеет имя. Имя домена определяется администратором при создании домена (создание домена – процесс установки Active Directory на сервер, после чего тот становиться контроллером домена). Домены именуются с помощью системы DNS – системы, которая используется в сети Интернет, однако для работы домена регистрация имени домена в Интернете не требуется. В качестве имени домена можно выбрать любое название, например, если компания называется «Телевизоры от Ивана», можно взять название ivan-tv.ru или televizor.ivan.local. Совпадение с именем сайта в Интернете не требуется, и даже не желательно.
Как правило, один домен соответствует одной компании, но в больших организациях приходиться использовать несколько доменов для балансировки нагрузки между контроллерами и создания более гибкой инфраструктуры. Для этого создаются дочерние домены со своими контроллерами, и все эти домены объединены в дерево доменов. Дерево доменов – распределенная система Active Directory, использующая одинаковую систему именования. Например, основной (первый созданный) домен называется promote.local, дочерние обязательно будут иметь это название в своем составе, и буду называться, к примеру, office.promote.local, main.promote.local и т.п.
Можно использовать лес доменов – несколько деревьев, которые не имеют одинаковой системы именования, но представляют собой единую службу каталогов. Такая техника используется в очень больших организациях.
Первый домен, который вы создаете для своей компании, называется корневым доменом леса.
Использование деревьев и лесов для распределенной компании с несколькими офисами имеет преимущества перед созданием многих разрозненных доменов – например, общая база пользователей и прозрачная проверка подлинности без повторного ввода пароля во всех доменах леса.
Безопасность в Active Directory
Средства безопасности интегрированы в Active Directory посредством аутентификации (проверки подлинности) при входе пользователя в систему и контроля доступа к объектам каталога, файлам, общим папкам и прочим ресурсам. Для этого используется имя пользователя (логин) и пароль, которые пользователи обязательно должны ввести при входе в систему. Вход без имени пользователя и пароля запрещен. Такие пользователи называются доменными пользователями, и создаются администратором в Active Directory вручную для каждого сотрудника. Единая регистрация сети (вход в систему) позволяет администраторам управлять данными и структурой каталога из любого ее места, а пользователи с соответствующими правами могут получить доступ к любым ресурсам, которые есть в домене. Active Directory предоставляет защищенное хранилище учетных записей пользователей и информации о группах, в которые он входят. Когда пользователи обращаются к ресурсам, происходит контроль доступа к объектам для той учетной записи, которую пользователь использовал при входе в систему. Так, при входе пользователя в сеть система безопасности аутентифицирует его с помощью информации, хранящейся в Active Directory. Затем, при попытке пользователя получить доступ к ресурсу, файлу или сетевой службе, система повторно проверяет, прошел ли этот пользователь проверку на контроллере домена, а далее с помощью списка избирательного управления доступом (discretionary access control list — DACL), закрепленного за ресурсом, решает, имеет ли этот пользователь работать с ним.
Таким образом, при доступе к ресурсам подлинность пользователя проверяется каждый раз на контроллере домена, что обеспечивает высочайший уровень безопасности и контроля над ресурсами сети.
Создание корневого домена леса
Если у вас нет Active Directory, начните установку с создания первого домена путем установки службы каталогов. В этой случае у вас появиться новый домен и новый лес, а домен будет называться корневой домен леса, однако на практике все просто говорят
«наш домен».
Для установки службы Active Directory необходимо иметь сервер под управлением
Windows Server 2003, который после этого станет контроллером домена.
Обратите внимание, что для работы сервера в качестве контроллера домена компьютеру необходим статический IP адрес.
Для создания домена используйте dcpromo.exe – «Мастер установки Active Directory» (Active Directory Installation Wizard). Этот мастер нужен как для установки Active Directory, так и для ее удаления. Имейте в виду, что для создания домена нужно войти на сервер пользователем Администратор (Administrator для версии Windows Server 2003 на английском языке).
Нажмите Пуск и выберите «Выполнить…» (Start, Run…) и введите dcpromo.exe. В ходе настройки конфигурации мастер-программа может потребовать компакт- диск с установкой Windows Server 2003. Держите его под рукой.
Щелкните на кнопке «Далее» (Next). На экране отобразится страница «Тип контроллера домена» (Domain Controller Type).
Так как мы создаем новый домен и Active Directory пока нет, выберите опцию
«Контроллер домена для нового домена» (Domain Controller for a New Domain).
На странице «Создать новый домен» (Create New Domain), выберите опцию
«Домен в новом лесу» (Domain in a New Forest).
Появится страница «Новое имя домена» (New Domain Name) – введите имя нового домена. Имя должно быть представлено в формате FQDN (fully qualified domain name – полностью определенное имя домена), например promote.local. Это не имя вашего сервера – это имя вашего домена.
Появится страница «NetBIOS имя домена» (NetBIOS Domain Name) с автоматически сгенерированным именем домена. Это имя используют старые системы и приложения, несовместимые с пакетом Active Directory. В большинстве случаев это имя просто представляет до 15 первых символов, предшествующих первой точке вашего доменного имени, например, promote.
На экране появится страница «База данных и папка журнала» (Database and Log Folder), содержащая запрос о пути к папкам-хранилищам для главного каталога и файлов журнала. В большинстве случаев достаточно принять путь, предполагаемый по умолчанию. Щелкните на кнопке Next.
Появится страница «Общий системный том» (Shared System Volume), которая содержит запрос пути для хранения папки SYSVOL.
Если вы не установили службу DNS, появится страница «Регистрационная диагностика DNS» (DNS Registration Diagnostics). DNS сервер необходим для функционирования Active Directory, поэтому выберите опцию «Установить и сконфигурировать DNS-сервер на этом компьютере» (Install and Configure DNS Server on this Computer), а затем щелкните на кнопке Next.
Страница «Разрешения» (Permissions) предлагает решить, будут ли использоваться разрешения, принятые в системах, предшествующих Windows 2000. В большинстве случаев использовать разрешения, совместимые с серверами, предшествующими Windows 2000, стоит только в тех случаях, когда вы уверены, что будете использовать в домене унаследованные системы, например Windows 9x или Windows NT Workstation. В случае, если таких операционных систем на ваших клиентских компьютерах нет, используйте вариант без совместимости («Разрешения совместимы только с операционной системой Windows Server 2003» (Permissions compatible only with Windows Server 2003 Operating System).
Страница «Пароль администратора режима восстановления служб каталогов» (Directory Services Restore Mode Administrator Password), содержит запрос на ввод уникального пароля, который используется для входа в систему в режиме восстановления служб каталогов, если система откажет. Этот пароль не должен совпадать с паролем пользователя Администратор (Administrator). Придумайте сложный пароль, запишите и уберите в надежное место, например, в сейф. Надеемся, что он вам никогда не понадобится.
Следующая страница «Сводка» (Summary) показывает изменения, вносимые в систему. Щелкните на кнопке «Далее» (Next).
Процесс установки и настройки конфигурации занимает значительное время, и после того, как отобразится сообщение о завершении установки, щелкните на кнопке «Завершить» (Finish). После того как вам будет предложено перезагрузить систему, щелкните на кнопке «Перезагрузить систему» (Restart Now).
После перезагрузки установка Active Directory завершена.
Подключение компьютеров к домену
Установив службу Active Directory, необходимо превратить свою сеть из рабочей группы в действительно мощную и безопасную структур. Для этого необходимо каждый компьютер в локальной сети подключить к созданному домену. Подключение компьютера к домену – первая процедура на пути к тому, чтобы можно было воспользоваться преимуществами Active Directory. Не подключив компьютер к домену, вы вообще не сможете работать с доменом.
Для подключения клиентских компьютеров и серверов к домену, удостоверьтесь, что сетевые настройки на этих машинах корректны. Вы должны уметь соединяться с контроллером домена. Используйте для проверки команду ping.
Кроме того, настройки протокола TCP/IP должны быть сконфигурированы следующим образом: в качестве DNS сервера необходимо указать IP адрес контроллера домена (если в процессе установки Active Directory вы выбрали вариант «Установить и сконфигурировать DNS-сервер на этом компьютере»). Если вы используете адрес DNS сервера для получения имен из Интернета, адрес этого сервера должен быть написан в поле «Альтернативный DNS сервер» (Alternative DNS Server). Менять адреса местами нельзя, это приведет к потере связи с контроллером домена, что фактически означает отказ в работоспособности компьютера.
Для того, чтобы правильно сконфигурировать протокол TCP/IP на клиентской машине, сделайте следующее:
Зайдите в «Панель управления» (Control Panel) и выберите «Сетевые соединения» (Network Connections).
Откройте свойства сетевого адаптера (того, который подключает компьютер к локальной сети, но скорее всего он у вас один), для этого щелкните по нему правой кнопкой мыши и выберите «Свойства» (Properties).
Выберите «Протокол Интернета (TCP/IP)» (Internet Protocol TCP/IP) и нажмите кнопку «Свойства».
В открывшемся окне в поле «Предпочитаемый DNS сервер» (Preferred DNS Server) введите IP адрес DNS сервера вашей сети, и, если нужно соединение с Интернетом, адрес DNS сервера в Интернет (узнайте его у вашего провайдера).
После окончания конфигурирования сетевых соединений, нужно подключить компьютер к домену. Для этого нужно обладать правами администратора локальной машины, например, войти пользователем Администратор (Administrator).
Используйте следующий сценарий для подключения компьютера к домену:
Откройте свойства системы – щелкнув правой кнопкой на значке «Мой компьютер» (My Computer), выберите «Свойства» (Properties).
Откройте вкладку «Имя компьютера» (Computer Name) и нажмите «Изменить…» (Change…).
Если при установке операционной системы вы не выбрали имя компьютера, сделайте это сейчас. Для изменения имени заполните поле «Имя компьютера» (Computer Name). В качестве имени компьютера используйте понятное название, а не случайный набор букв и цифр, так как в дальнейшем с такими машинами неудобно работать. Придумайте систему именования компьютеров компании. Например, для серверов используйте префикс «s-», а для рабочий станций –
«ws-», так что может получаться s-pdc-new, ws-of-12-01 или ws-main-sales-1. Имейте в виду, что в именах рабочий станций удобно вносить их физическое местоположение, чтобы знать, где этот компьютер находиться (ws-of-12-01 – рабочая станция офиса, комната 12, номер машины 1).
Установите переключатель из положения «Рабочая группа» (Workgroup) в положение «Домен» (Domain) и введите полное имя домена, к которому вы хотите подключиться. Используйте именно то имя, которое вы присвоили своему домену в процессе установки Active Directory.
Если все в порядки и удается связаться с контроллером домена, вы получите приглашение ввести имя пользователя и пароль: используйте учетную запись Администратора домена (Domain Admin). Если вы пока не создавали пользователей в Active Directory, используйте встроенного администратора домена: в поле «Имя пользователя» введите Администратор@имя.вашего.домена
или Administrator@имя.вашего.домена (если на контроллере домена стоит английская версия Windows Server 2003), к примеру, Администратор@promote.local. В поле «Пароль» - пароль этой учетной записи. Обратите внимание, что это тот пароль, который принадлежал пользователю Администратор на сервере до того, как он стал контроллером домена. Локальный Администратор был трансформирован в Администратора домена.
Если вы долго не видите приглашение на ввод пароля или получаете сообщение
«невозможно связаться с контроллером домена» – скорее всего из-за ошибки в настройке адреса DNS сервера на этом компьютере.
После удачного подключения компьютера к домену его необходимо перезагрузить.
Утилиты для работы с Active Directory
Управление Active Directory в Windows Server 2003 осуществляется с помощью утилиты «Active Directory пользователи и группы» (Active Directory Users and Computers), окно которой показано на рисунке:
Эта утилита используется для создания и удаления любых объектов (пользователей домена, компьютеров домена, и многих других), а также управления ими.
После того, как вы установили контроллер домена, на этом сервере утилита будет добавлена автоматически. Чтобы запустить оснастку Active Directory Users and Computers,
нажмите «Пуск, Администрирование, Active Directory Пользователи и компьютеры» (Start, Administrating, Administrative Directory Users and Computers). Таким образом, для управления Active Directory вы должны будете локально зайти на контроллер домена и управлять службой каталогов. Другие компьютеры и серверы вашего домена не имеют этой утилиты, и может оказаться достаточно неудобно каждый раз подходить к серверу. Для решения этой проблемы можно установить набор серверных утилит на любую машину, подключенную к домену, например на ту, на которой вы обычно работаете. Это существенно сократит время управления Active Directory. Для установки откройте на компакт диске с Windows Server 2003 папку I386 и запустите установочный файл adminpak.msi. После установки в меню «Пуск, Администрирование» вы найдете новые утилиты.
Обратите внимание, что нужно запускать утилиты администрирования домена пользуясь учетной записью администратора домена или учетной записью, входящей в группу «Администраторы домена» (Domain Admins).
Структура домена. Организационные единицы
При запуске оснастки в диалоговом окне приложения отображается имя вашего домена в верхней части каталога и структура каталога. Для более удобного хранения и управления объектами Active Directory используются подразделения (или организационные единицы, Organizational Units). Можно провести аналогию между структурой домена и файловой системой – организационные единицы соответствуют папкам, а объекты AD – файлам.
Некоторые из этих организационных единиц представляют собой встроенные контейнеры, которые содержат объекты домена, создаваемые на этапе его установки.
Структура организационных единиц очень важна, поскольку, несмотря на то, что вы можете перемещать объекты в пределах всего домена, в долговременной перспективе вам будет намного легче, если вы создадите объекты в подходящем месте с самого начала.
Использование организационных единиц помогает организовать данные в виде логических контейнеров. Первыми вы создаете организационные единицы для различных подразделений вашей организации (например, для бухгалтерии, для отдела кадров и т.д.). Затем вы можете поместить все объекты-пользователи и объекты-компьютеры определенного подразделения в его организационную единицу.
Организационные единицы используются для следующих целей:
организация удобного хранения объектов в Active Directory
делегирование управления частями домена без предоставления лишних полномочий
работа с групповыми политиками (Group Policy)
Для создания организационной единицы, запустите «Active Directory Пользователи и компьютеры» (Administrative Directory Users and Computers):
Выберите контейнер, в котором вы хотите создать новую организационную единицу
Щелкнув в правой части окна, выберите «Создать» (New), «Подразделение» (Organizational Unit)
Введите имя. Можно использовать любые символы, включая пробелы и русские буквы. Если будет необходимо, в будущем контейнер можно переименовать.
Завершите создание контейнера. Теперь можно размещать в нем объекты
(пользователи, компьютеры), а также другие организационные единицы.
Локальные пользователи и пользователи домена. Вход в систему
Каждому пользователю компании нужно создать и настроить учетную запись, которая понадобится для работы в сети. Здесь познакомимся и рассмотрим инструменты, которые служат для управления пользователями в домене, посмотрим и на основные механизмы безопасности учетных записей пользователей, а также процесс входа пользователя в сеть.
Чтобы пользователь мог работать в сети и получать доступ к сетевым службам, сервисам и данным, он должен зарегистрироваться на своем компьютере и войти в сеть. Для этого необходимо наличие активной учетной записи в домене, каждая из которых характеризуется уникальным именем входа в сеть (логин) и паролем. Учетная запись служит также для управления полномочиями пользователя – правами доступа к общим ресурсам и возможностью выполнять различные действия.
С учетными записями пользователей необходимо обращаться очень осторожно. Категорически не рекомендуется создавать общую запись для поочередной работы нескольких пользователей. Учетная запись у каждого пользователя должна быть своя.
На компьютерах, подключенных к домену Active Directory можно работать с двумя типами учетных записей: локальными и доменными.
Локальные учетные записи - учетные записи пользователей, созданные на отдельной рабочей станции, и хранятся в локальной базе данных SAM (Security Accounts Manager). Они позволяют войти в систему только на том компьютере, на котором находится эта
база. Если пользователю нужно работать за другим компьютером, необходимо создать для него учетную запись и там. То есть, если нескольким пользователям требуется возможность работать за несколькими компьютерами, то придется создать всех их на каждой машине. Кроме того, в этом случае говорить о безопасном доступе к ресурсам даже не приходиться. Локальные пользователи используются в очень маленьких сетях (до
10 компьютеров). Как правило, если в компании развернут домен, локальные пользователи не используются вообще, кроме одного – локального Администратора (Administrator). Им пользуются администраторы, когда есть неполадки в работе сети и связаться с контроллером домена невозможно. После восстановления связи пользователи продолжают работать своими доменными учетными записями.
Доменные пользователи имеют массу преимуществ – во-первых, они создаются один раз и могут быть использованы на любой машине домена. Кроме того, такими записями удобнее управлять и назначать права на доступ к ресурсам (что невообразимо трудно при использовании локальных пользователей), и это обеспечивает отменную безопасность.
Когда вы включаете компьютер, подключенный к домену, вы видите экран входа в систему, он отличается от экрана входа в систему, когда машина не является членом домена. При входе в систему вы должны выбрать способ входа – пользуясь доменной учетной записью или локальной. Этот выбор происходит в выпадающем списке внизу приглашения (если его не видно, нажмите кнопку «Опции…» (Options…)). Выбор варианта, совпадающего с именем домена, которому подключен компьютер, обеспечит вход в систему с использованием доменного пользователя. Для использования локальной базы данных пользователя выберите из списка пункт, совпадающий с именем машины, на которую происходит вход, при этом в скобочках рядом с названием будет указано «(этот компьютер)» (this computer).
Еще раз обращаем ваше внимание, что использование локальных пользователей является плохой практикой. Используйте только доменные учетные записи.
До сих пор операции в домене выполнялись учетной записью Администратор (Administrator). Это встроенная учетная запись, которая доступна сразу после установки домена. Эта запись предоставляет огромные полномочия, поэтому использовать ее для повседневной работы небезопасно и крайне нежелательно и обычно администраторы имеют две учетные записи – обычную и с правами администратора. Часто администраторам необходимо выполнять задачи администрирования, но их обычная учетная запись для этого не подходит. Решение этой проблемы – выход из системы и вход под записью администратора, но это достаточно долго и при этом приходится закрывать все открытые приложения. Для решения поставленной задачи есть технология
«вторичный вход в систему» (secondary logon) или, как ее еще называют, «запуск от имени…» (run as…). Идея следующая – любое приложение можно запустить с правами другого пользователя (как правило, администратора), тем самым обеспечив себе привилегии на выполнение определенной задачи. Например, мы можем запустить «Active Directory Пользователи и компьютеры» от имени администратора домена, получив возможность создавать новые объекты, изменять существующие и т.п. Если бы мы запустили ту же самую утилиту просто щелкнув по ней мышкой (имейте в виду, что мы вошли в систему обычной доменной учетной записью), то не смогли бы сделать ничего. Обратите внимание, что только запущенное от имени другого пользователя приложение будет обладать соответствующими правами, все же остальные как были «бесправными», так и остались. Закрытие «привилегированного» приложения лишает вас прав, и в следующий раз, когда вы должны открыть его таким же способом для получения привилегий.
Для запуска любого приложения от имени другого пользователя воспользуйтесь одним из способов:
щелкните правой кнопкой мыши на приложении, предварительно зажав на клавиатуре клавишу SHIFT. При этом в контекстном меню появляется пункт
«Запуск от имени…» (Run as…). Выберите его, и в появившемся окне введите имя пользователя и пароль. Обратите внимание, что если вы хотите запустить приложение от имени доменного пользователя (в том числе и доменного администратора), введите имя в формате пользователь@имя.домена (например, administrator@promote.local), а если нужен локальный пользователь этого компьютера, то имя-этого-компьютера\пользователь (например, ws-of-12-01\administrator).
Обратите внимание, что системы сама подставляет имя локального администратора той машины, на которой вы находитесь.
Используйте команду runas.exe. В меню «Пуск, Выполнить…» (Start,Run…) введите следующую команду: ‘runas /u:пользователь приложение’. Например, ‘runas /u:administrator@promote.local cmd.exe’. После этого вам предложат ввести пароль от этого пользователя (при вводе его не видно), и приложение запустится.
Создание и управление доменными пользователями
Для повседневной работы пользователей нужно каждому создать учетную запись, под которой нужно входить для обычной работы (создание документов, чтение почты и путешествие по Интернету). В том числе и для вас запись с правами обычного пользователя необходима, а Администратора нужно оставить только для некоторых административных задач, для которых требуются соответствующие полномочия.
Для создания новой доменной учетной записи запустите «Active Directory
Пользователи и компьютеры» (Administrative Directory Users and Computers):
Щелкните правой кнопкой мыши по значку Пользователи (Users) или из контекстного меню выберите «Создать, Пользователь» (New, User).
В диалоговом окне «Новый объект – Пользователь» заполните поля «Имя» (First Name) и «Фамилия» (Last Name). Обратите внимание, что утилита сама вставила в поле «Полное имя» (Full Name) имя человека в формате Имя Фамилия. Это поле – название учетной записи, с ней вы будете работать как администратор домена. Возьмите в привычку менять это поле, указывая фамилию перед именем. Это позволит вам в дальнейшем удобно искать учетные записи и добавлять их в
группы по первым буквам фамилии, а не имени. Здесь же вы можете добавить отчество, если захотите.
В поле «Имя входа пользователя» (User Logon Name) введите имя пользователя (логин), которое будет им использоваться. Рекомендуется избегать использования в регистрационном имени символов кириллицы, поскольку не на каждом компьютере можно переключиться на русскую раскладку в ходе регистрации. Это же регистрационное имя будет автоматически введено и в поле «Имя входа пользователя (пред-Windows 2000)» (User Logon Name (pre-Windows 2000)). Оставьте оба поля с одинаковым значением. Когда вы придумываете имя входа в систему, используйте следующее правило: напишите латинскими буквами фамилию пользователя и через точку первую букву его имени, например, для Иванова Сергея используйте логин ivanov.s. Не используйте логины типа sergey, anny12 – вы никогда не сможете по логину понять, кому он принадлежит.
На следующей странице в поле «Пароль» (Password) и «Подтверждение» (Confirm Password) введите пароль, который будет применен при первой регистрации при помощи созданной записи. Настройка безопасности по умолчанию в домене с системой Windows Server 2003 довольно строгая: длина пароля должна быть не менее 7 символов, а пароль обязан быть сложным, то есть содержать следующие символы: заглавная буква, строчная буква, цифра или специальный знак.
Оставьте установленным флажок «Требовать смену пароля при следующем входе в систему» (User must change password at next logon). Это приведет к тому, что
пароль будет знать только сам пользователь, а вы как администратор снимете с себя ответственность за доступ к чужим секретам. Остальные переключатели тоже оставьте в положении по умолчанию и нажмите «Далее» (Next).
Отобразится общая информация о новом пользователе. После ее проверки нажмите кнопку «Готово» (Finish). Только сейчас учетная запись будет создана.
После создания новой записи попытайтесь зарегистрироваться с помощью этой записи на какой-нибудь рабочей станции. До того, как вы увидите рабочий стол, вам придется сменить пароль. Успешное изменение пароля будет подтверждено сообщением на экране и новый пароль в тот же момент станет активным.
Для управления существующими пользователями вызовите окно свойств и просмотрите все вкладки, чтобы получить представление о других сведениях, которые входят в учетную информацию пользователя. Эти сведения нужны для поиска пользователя в системе, поэтому имеет смысл задавать их сразу же и постоянно поддерживать их актуальность.
Обратите внимание на вкладку «Членство в группе» (Member of). Каждая вновь созданная учетная запись по умолчанию становится членом группы «Доменные пользователи» (Domain Users). На каждой рабочей станции члены этой группы одновременно являются членами локальной группы «Пользователи» (Users), то есть получают обычные права доступа к ресурсам этого компьютера. С членством в группе Domain Users не следует экспериментировать.
Группы Active Directory
Пользователей, потребности которых в ресурсах сети примерно одинаковы, естественно объединять в группы. Например, обычно сотрудникам одного подразделения требуются для работы одни и те же папки и общие ресурсы, принтеры и одинаково ограниченный (или неограниченный) доступ к Интернету. В этом случае доступ к ресурсам нужно предоставить не отдельным пользователям, а доменным группам. Преимущества этого решения видны с первого взгляда. Например, если в отдел кадров принят новый сотрудник, то для того, чтобы предоставить ему доступ к ресурсам отдела кадров, разбросанным по всей сети, достаточно включить его учетную запись в соответствующую группу.
Служба Active Directory использует несколько видов групп, различающихся по области действия — глобальные, доменные, универсальные. Область действия – область видимости этой группы, что означает, можно ли пользоваться ей только в этом домене или в нескольких. Есть еще локальные группы, которые существуют каждая только на том компьютере, на котором созданы (как локальные пользователи из базы SAM); эти группы никогда не используются, потому что ими нельзя управлять централизованно.
В домене Active Directory можно использовать два типа групп: группы безопасности (Security Group) и группы распространения (Distribution Group). Группы безопасности - группы, для которых можно назначать права на доступ к ресурсам и разрешения. Права определяют, какая деятельность разрешается в домене члену подобной группы (пользователю или компьютеру), а разрешения определяют, к каким объектам в сети они будут иметь доступ. Группы распространения используются только тогда, когда в компании установлен сервер электронной почты Exchange Server. Эти группы предназначены только для рассылки пользователям сообщений электронной почты. Их нельзя использовать для назначения разрешений, поэтому как правило в домене все или почти все группы – группы безопасности.
Для создания группы в домене запустите «Active Directory Пользователи и компьютеры» (Administrative Directory Users and Computers):
Выберите организационную единицу, в которой хотите создать группу. Положение группы в структуре домена не имеет никакого значения, но вы должны располагать объекты Active Directory в логичных местах, где сможете потом их найти.
Щелкнув в правой части окна, выберите «Создать» (New), «Группа» (Group)
Задайте имя группы. Чем понятнее название (и длиннее), тем лучше. В названии должно быть отражен тип группы (обычно используют префиксы G – глобальная, DL – локальная доменная, U - универсальная), а также ее назначение. Например, для отдела продаж назовите группу ‘G Sales Department’, а группу для доступа к принтеру ‘DL Access Printer - Office. Room 12. HP-1100’.
Выберите тип группы (безопасности, распространения). Для назначения прав доступа используйте группы безопасности. По умолчанию стоит именно этот вариант.
Поле «Область действия группы» (Group Scope) установите в нужное положение. Ели у вас один домен, глобальная группа вам подходит. Заметьте, что переключатель нельзя установить в положение «Универсальная». Это зависит от режима работы домена. Существует три режима работы домена Active Directory в системе Windows Server 2003. Режим определяет, какие операционные системы можно установить на контроллерах домена, и в соответствии с этим ограничиваются и некоторые возможности, например, использование универсальных и вложенных групп. Режимы функционирования следующие: Windows 2000 Смешанный (Mixed), Windows 2000 и Windows 2003. Если вы установили первый домен на сервер с Windows Server 2003, вы можете смело поднять режим функционирования домена до «Windows Server 2003».
Нажмите кнопку OK.
У группы есть две важные характеристики: члены группы и список групп, членами которых эта группа является сама. Откройте свойства группы, щелкнув по ней правой кнопкой мыши. Вкладка «Члены группы» (Members) покажет текущих членов этой группы, а вкладка «Член групп» (Member of) – список групп, в которые она входит. Для управления членством в группе используйте кнопки «Добавить» (Add) и
«Удалить»(Remove). Вы можете добавлять членов-пользователей и членов-групп, в этом случае вы получите так называемые вложенные группы. Иными словами, если
пользователь член группы A, а группа входит в группу B, то пользователь член и группы
A и группы B, хотя явно не присутствует в группе B.
Когда вы добавили пользователя в группу, результаты будут доступны не сразу. К примеру, пользователь вошел в домен, попробовал получить доступ к принтеру, но его нет в группе, которая используется в списке доступа на этот принтер. Он попросил вас добавить его в эту группу, вы это сделали, но пользователь все равно не имеет доступа и при попытке обращения получает сообщение «Отказано в доступе» (Access denied). Это происходит потому, что членство в группах для пользователя определяется один раз, когда тот входит в систему. Так что просто проинструктируйте пользователя выйти из системы и войти в нее заново, чтобы получить доступ.
Рассмотрим типы групп, доступные нам для работы.
Глобальная группа может содержать учётные записи пользователей, компьютеров или групп, созданные в том же домене, в котором была создана она сама. Глобальным группам можно разрешать доступ к ресурсам и наделять правами в каком угодно домене в Active Directory (отсюда и её название — «глобальная»), а не только в том домене, где она была создана. Именно поэтому глобальный группы нам сейчас подходят больше всего – пока у нас один домен, мы можем ей пользоваться, и если структура Active Directory разрастется до нескольких доменов, мы все равно сможем применять эту группу.
Локальная доменная группа может содержать глобальные группы, универсальные группы, пользовательские учётные записи и записи компьютеров с любого домена Active Directory и другие локальные доменные группы родного домена. Область видимости этой группы – только тот домен, где она была создана, поэтому использовать ее в другом домене нельзя (например, дать доступ к ресурсам) Главным назначением локальных групп является предоставление доступа к ресурсам собственного домена.
Универсальные группы могут содержать учётные записи пользователей, компьютеров или групп из любого домена Active Directory. Универсальным группам безопасности можно разрешать доступ к ресурсам любого домена Active Directory. Эти группы действительно универсальные, так видны везде и могут содержать каких угодно членов из разных доменов. Однако, использовать их не нужно до тех пор, пока компания не стала состоять из многих доменов. Универсальные группы создают дополнительный сетевой трафик.
Ознакомимся со стратегиями использования групп. Эти стратегии разработаны для того, чтобы по возможности облегчить работу администраторов, и чтобы при этом вся конфигурация получилась как можно более простой и понятной.
При рассмотрении стратегий будем использовать обозначения, принятые в англоязычной литературе:
А – учётные записи пользователей (user Accounts).
G – глобальные группы (Global groups).
DL – локальные доменные группы (Domain Local groups).
U – универсальные группы (Universal groups).
Р – права доступа к ресурсу (Permissions). Обозначает и сам ресурс, например, файл.
Стратегия A-G-P. Это означает, что учётные записи пользователей являются членами глобальной группы, и с помощью нее настроены права доступа к ресурсу (например, к папке с файлами). Одна из самых простых стратегий, но не сама гибкая. Её рекомендуется использовать только в очень небольших сетях и только исходя из того, что в Active Directory никогда не будет более одного домена.
Стратегия A-G-DL-Р. Наиболее используемая стратегия. Пользователи являются членами глобальной группы по функциональному признаку, например, отдел продаж. Для ресурса создается локальная доменная группа (ведь ресурс принадлежит конкретному домену, не так ли?). Сколько бы у нас ни было ресурсов, для каждого своя локальная доменная группа. В списке разрешений на доступ к этому ресурсу присутствует лишь эта локальная доменная группа. Когда вы захотите дать кому-то доступ к ресурсу, просто добавьте его в эту локальную доменную группу. Таким образом, вы никогда не работаете с ресурсом – вы лишь работаете с группой, созданной специально для него, добавляя в нее членов или убирая ненужных, при этом используя всего лишь одну утилиту – «Active Directory Пользователи и компьютеры» (Administrative Directory Users and Computers). Кроме того, локальная доменная группа может содержать в себе глобальные группы, а раз их видно во всех доменах, то можно дать доступ из любого домена к ресурсу, который есть у вас. Именно поэтому в названии стратегии используется буква G.
Есть еще несколько стратегий, например, с использованием локальных групп компьютера или универсальных групп, но они либо негибкие, либо очень сложные и используются в гигантских организациях.
Не используйте при назначении прав доступа отдельные учетные записи пользователей. Это очень опасно, поскольку вы через несколько просто забудете, кого куда добавили, и контроля над безопасностью у вас не будет. Действительно, настроить разрешения для единственного пользователя значительно быстрее. Но что если пользователь с такими требованиями будет не один? Второго и третьего добавить вручную еще можно, но рано или поздно придется перестраивать всю схему безопасности данного ресурса, стараясь при этом не помешать работе уже существующих пользователей. Не смотря на то, что это самый простой способ дать пользователю права на доступ, избегайте его.
Все учетные записи пользователей домена автоматически помещается в группу
«Пользователи домена» (Domain Users). Это группа по умолчанию, менять ее не нужно. Все ваши пользователи, которые работают в компании, должны обладать членством в этой группе, которая дает им право работать в домене и подключаться к сети; пользователи могут быть членами групп, которые вы создаете для назначения доступа к ресурсам. Группа «Доменные пользователи» появляется при создании домена. В это же время появляется еще одна встроенная группа – «Администраторы домена» (Domain Admins). Эта группа – мощнейшая, членство в которой дает неограниченные права во всем домене и право управлять Active Directory. Получив членство в этой группе, злоумышленник может полностью разрушить вашу сеть и уничтожить все данные. Поэтому, членство в этой группе нужно строго контролировать, периодически проводя ревизию. В защищенной сети членами этой группы должны являться не более одного- двух пользователей. Одного доменного пользователя вы создаете для себя и добавляете его в эту группу (крайне не рекомендуется пользоваться пользователем Администратор из домена), второй может быть ваш помощник, но вы должны ему полностью доверять, иначе, он может по неопытности разрушить весь ваш домен. Категорически запрещается добавлять обычных сотрудников в эту группу!
Имейте в виду, что обычные пользователи члены группы «Пользователи домена» (Domain users) и не имеют администраторских прав на тех машинах, на которых работают. В принципе, они им не нужны – приложения можно запускать и под обычным пользователем, работать с документами тоже. В хорошо реализованной сети потребностей в мощных правах у обычных пользователей просто не возникает, но иногда все же нужно определенному пользователю разрешить управлять его машиной полностью (ставить программы, управлять устройствами и пр.). Для этого воспользуйтесь следующей техникой:
зайдите на его машину с помощью администратора (локального или доменного, не важно) и откройте утилиту управления локальной машиной «Управление компьютером» (Compute Management). Вы найдете ее в Пуск, Панель управления, Администрирование, Управление компьютером (Start, Control Panel, Administrating, Computer Management).
Выберите в левой части окна «Локальные пользователи и группы» (Local Users and Groups), а затем «Группы» (Groups)
Откройте группу Администраторы (Administrators) и добавьте в нее доменную
учетную запись пользователя, нажав кнопку «Добавить» (Add).
Теперь, когда этот пользователь войдет в систему, он сможет работать с ней как администратор, но для домена он будет самым обычным пользователем, как и раньше, и естественно сохранит доступ ко всем ресурсам домена с не изменившимися правами.
Достарыңызбен бөлісу: |