Важное сообщение для администратора домена. Администрирование учетных записей в домене Active Directory

Александр Емельянов

Администрирование учетных записей в домене Active Directory

Одна из важнейших задач администратора – управление локальными и доменными учетными записями: аудит, квотирование и разграничение прав пользователей в зависимости от их потребностей и политики компании. Что может предложить в этом плане Active Directory?

В продолжение цикла статей об Active Directory сегодня мы поговорим о центральном звене в процессе администрирования – управлении пользовательскими учетными данными в рамках домена. Нами будет рассмотрено:

• создание учетных записей и управление ими;
• типы профилей пользователей и их применение;
• группы безопасности в доменах AD и их сочетания.

В конечном итоге вы сможете применить эти материалы для построения рабочей инфраструктуры либо доработки существующей, которая будет отвечать вашим требованиям.

Забегая вперед, скажу, что тема тесно связана с применением групповых политик для административных целей. Но вследствие обширности материала, посвященного им, она будет раскрыта в рамках следующей статьи.

Знакомство с Active Directory – Users and Computers

После того как вы установили свой первый контроллер в домене (тем самым вы собственно и организовали домен), в разделе «Администрирование» появляется пять новых элементов (см. рис. 1).

Для управления объектами AD используется Active Directory – Пользователи и компьютеры (ADUC – AD Users and Computers, см. рис. 2), которая также может быть вызвана через меню «Выполнить» посредством DSA.MSC.

С помощью ADUC можно создавать и удалять пользователей, назначать сценарии входа для учетной записи, управлять членством в группах и групповыми политиками.

Существует также возможность для управления объектами AD без обращения к серверу напрямую. Ее обеспечивает пакет ADMINPAK.MSI, расположенный в директории «%SYSTEM_DRIVE%\Windows\system32». Развернув его на своей машине и наделив себя правами администратора домена (если таковых не было), вы сможете администрировать домен.

При открытии ADUC мы увидим ветку нашего домена, содержащую пять контейнеров и организационных единиц.

• Builtin . Здесь содержатся встроенные локальные группы, которые есть на любой серверной машине, включая и контроллеры домена.
• Users и Computers . Это контейнеры, в которые по умолчанию размещаются пользователи, группы и учетные записи компьютеров при установке системы поверх Windows NT. Но для создания и хранения новых учетных записей нет необходимости пользоваться только этими контейнерами, пользователя можно создать даже в контейнере домена. При включении компьютера в домен он появляется именно в контейнере Computers.
• Domain Controllers . Это организационная единица (OU, Organizational Unit), содержащая по умолчанию контроллеры домена. При создании нового контроллера он появляется здесь.
• ForeignSecurityPrincipals . Это контейнер по умолчанию для объектов из внешних доверяемых доменов.

Важно помнить, что объекты групповых политик привязываются исключительно к домену, OU или сайту. Это нужно учитывать при создании административной иерархии вашего домена.

Вводим компьютер в домен

Процедура выполняется непосредственно на локальной машине, которую мы хотим подключить.

Выбираем «Мой компьютер -> Свойства -> Имя компьютера», нажимаем кнопку «Изменить» и в меню «Является членом» выбираем «домена». Вводим имя домена, в который мы хотим добавить наш компьютер, и далее доказываем, что у нас есть права на добавление рабочих станций к домену, введя аутентификационные данные администратора домена.

Создаем пользователя домена

Для создания пользователя нужно выбрать любой контейнер, в котором он будет располагаться, нажать на нем правой кнопкой мыши и выбрать «Создать -> Пользователь». Откроется мастер создания пользователя. Здесь вы сможете указать множество его атрибутов, начиная с имени пользователя и временными рамками входа в домен и заканчивая настройками для терминальных служб и удаленного доступа. По завершении работы мастера вы получите нового пользователя домена.

Нужно заметить, что в процессе создания пользователя система может «ругаться» на недостаточную сложность пароля или его краткость. Смягчить требования можно, открыв «Политику безопасности домена» (Default Domain Security Settings) и далее «Параметры безопасности -> Политики учетных записей -> Политика паролей».

Пусть мы создали пользователя Иван Иванов в контейнере Users (User Logon Name: [email protected]). Если в системах NT 4 это имя играло лишь роль украшения, то в AD оно является частью имени в формате LDAP, которое целиком выглядит так:

cn="Иван Иванов", cn="Users", dc="hq", dc="local"

Здесь cn – container name, dc – domain component. Описания объектов в формате LDAP используются для выполнения сценариев WSH (Windows Script Hosts) либо для программ, использующих протокол LDAP для связи с Active Directory.

Для входа в домен Иван Иванов должен будет использовать имя в формате UPN (Universal Principal Name): [email protected]. Также в доменах AD будет понятно написание имени в старом формате NT 4 (пред Win2000), в нашем случае HQ\Ivanov.

При создании учетной записи пользователя ей автоматически присваивается идентификатор защиты (SID, Security Identifier) – уникальный номер, по которому система и определяет пользователей. Это очень важно понимать, так как при удалении учетной записи удаляется и ее SID и никогда не используется повторно. А каждая новая учетная запись будет иметь свой новый SID, именно поэтому она не сможет получить права и привилегии старой.

Учетную запись можно переместить в другой контейнер или OU, отключить или, наоборот, включить, копировать или поменять пароль. Копирование часто применяется для создания нескольких пользователей с одинаковыми параметрами.

Рабочая среда пользователя

Учетные данные, хранящиеся централизованно на сервере, позволяют пользователям однозначно идентифицировать себя в домене и получать соответствующие права и доступ к рабочей среде. Все операционные системы семейства Windows NT используют для создания рабочего окружения на клиентской машине профиль пользователя.

Локальный профиль

Рассмотрим основные составляющие профиля пользователя:

• Раздел реестра, соответствующий определенному пользователю («улей» или «hive»). Фактически данные этой ветки реестра хранятся в файле NTUSER.DAT. Он располагается в папке %SYSTEMDRIVE%\Documents and Settings\User_name, которая содержит профиль пользователя. Таким образом, при входе конкретного пользователя в систему в раздел реестра HKEY_CURRENT_USER загружается «улей» NTUSER.DAT из папки, содержащей его профиль. И все изменения настроек пользовательской среды за сеанс будут сохраняться именно в этот «улей». Файл NTUSER.DAT.LOG – это журнал транзакций, который существует для защиты файла NTUSER.DAT. Однако для пользователя Default User вы вряд ли его найдете, поскольку он является шаблоном. Об этом далее. Администратор имеет возможность редактировать «улей» определенного пользователя прямо из своей рабочей среды. Для этого с помощью редактора реестра REGEDIT32 он должен загрузить «улей» в раздел HKEY_USERS, а затем после внесения изменений выгрузить его.
• Папки файловой системы, содержащие файлы пользовательских настроек. Они располагаются в специальном каталоге %SYSTEMDRIVE%\Documents and Settings\User_name, где User_name – имя пользователя, вошедшего в систему. Здесь хранятся элементы рабочего стола, элементы автозагрузки, документы и др.

Если пользователь впервые входит в систему, происходит следующее:

1. Система проверяет, существует ли локальный профиль этого пользователя.
2. Не найдя его, система обращается к контроллеру домена в поиске доменного профиля по умолчанию, который должен располагаться в папке Default User на общем ресурсе NETLOGON; если система обнаружила этот профиль, он копируется локально на машину в папку %SYSTEMDRIVE%\Documents and Settings с именем пользователя, в противном случае он копируется из локальной папки %SYSTEMDRIVE%\Documents and Settings\Default User.
3. В раздел реестра HKEY_CURRENT_USER загружается пользовательский «улей».
4. При выходе из системы все изменения сохраняются локально.

В конечном итоге рабочее окружение пользователя – это объединение его рабочего профиля и профиля All Users, в котором находятся общие для всех пользователей данной машины настройки.

Теперь несколько слов о создании профиля по умолчанию для домена. Создайте фиктивный профиль на своей машине, настройте его в соответствии с вашими нуждами либо с требованиями корпоративной политики. Затем выйдите из системы и снова зайдите как администратор домена. На общем ресурсе NETLOGON-сервера создайте папку Default User. Далее при помощи вкладки User Profiles в апплете System (см. рис. 3) скопируйте ваш профиль в эту папку и предоставьте права на ее использование группе Domain Users или какой-либо другой подходящей группе безопасности. Все, профиль по умолчанию для вашего домена создан.

Перемещаемый профиль

Active Directory как гибкая и масштабируемая технология позволяет работать в среде вашего предприятия с перемещаемыми профилями, которые мы рассмотрим далее.

Одновременно с этим будет уместным рассказать о перенаправлении папок как одной из возможностей технологии IntelliMirror для обеспечения отказоустойчивости и централизованного хранения пользовательских данных.

Перемещаемые профили хранятся на сервере. Путь к ним указывается в настройках пользователя домена (см. рис. 4).

При желании можно указать перемещаемые профили для нескольких пользователей одновременно, выделив нескольких пользователей, и в свойствах во вкладке «Профиль» указать %USERNAME% вместо папки с именем пользователя (см. рис. 5).

Процесс первого входа в систему пользователя, обладающего перемещаемым профилем, сродни описанному выше для локального, за некоторым исключением.

Во-первых, раз путь к профилю в объекте пользователя указан, система проверяет наличие кэшированной локальной копии профиля на машине, далее все, как было описано.

Во-вторых, по завершении работы все изменения копируются на сервер, и если групповыми политиками не указано удалять локальную копию, сохраняются на данной машине. Если же пользователь уже имел локальную копию профиля, то серверная и локальная копии профиля сравниваются, и происходит их объединение.

Технология IntelliMirror в системах Windows последних версий позволяет осуществлять перенаправление определенных папок пользователей, таких как «Мои документы», «Мои рисунки» и др., на сетевой ресурс.

Таким образом, для пользователя все проведенные изменения будут абсолютно прозрачны. Сохраняя документы в папку «Мои документы», которая заведомо будет перенаправлена на сетевой ресурс, он даже и не будет подозревать о том, что все сохраняется на сервер.

Настроить перенаправление можно как вручную для каждого пользователя, так и при помощи групповых политик.

В первом случае нужно кликнуть на иконке «Мои документы» на рабочем столе либо в меню «Пуск» правой кнопкой мыши и выбрать свойства. Дальше все предельно просто.

Во-втором случае нужно открыть групповую политику OU или домена, для которых мы хотим применить перенаправление, и раскрыть иерархию «Конфигурация пользователя ‑> Конфигурация Windows» (см. рис. 6). Далее перенаправление настраивается либо для всех пользователей, либо для определенных групп безопасности OU или домена, к которым эта групповая политика будет применяться.

Используя перенаправление папок к работе с перемещаемыми профилями пользователей, можно добиться, например, уменьшения времени загрузки профиля. Это при условии того, что перемещаемый профиль загружается всегда с сервера без использования локальной копии.

Рассказ о технологии перенаправления папок был бы неполон без упоминания об автономных файлах. Они позволяют пользователям работать с документами даже при отсутствии подключения к сети. Синхронизация с серверными копиями документов происходит при следующем подключении компьютера к сети. Такая схема организации будет полезна, например, пользователям ноутбуков, работающих как в рамках локальной сети, так и дома.

К недостаткам перемещаемых профилей можно отнести следующее:

• может возникнуть ситуация, когда, например, на рабочем столе пользователя будут существовать ярлыки некоторых программ, а на другой машине, где захочет поработать обладатель перемещаемого профиля таких программ не установлено, соответственно часть ярлыков не будет работать;
• многие пользователи имеют привычку хранить документы, а также фотографии и даже видео на рабочем столе, в результате при загрузке перемещаемого профиля с сервера каждый раз создается дополнительный трафик в сети, а сам профиль загружается очень долго; для решения проблемы используйте разрешения NTFS, чтобы ограничить сохранение «мусора» на рабочем столе;
• каждый раз, когда пользователь входит в систему, для него создается локальный профиль (точнее, профиль с сервера копируется локально), и если меняет рабочие машины, то на каждой из них остается такой «мусор»; этого можно избежать, настроив определенным образом групповые политики («Конфигурация компьютера -> Административные шаблоны -> System -> User Profiles», политика «Delete cached copies of roaming profiles»).

Введение уже существующего пользователя в домен

Зачастую при внедрении службы каталогов в уже существующей сети на базе рабочих групп возникает вопрос о введении пользователя в домен без потери настроек его рабочей среды. Этого можно добиться, используя перемещаемые профили.

Создайте на общем сетевом ресурсе (например, Profiles) на сервере папку с именем пользователя и задайте для нее разрешения на запись для группы Everyone. Пусть она называется HQUser, а полный путь к ней выглядит так: \\Server\Profiles\HQUser.

Создайте пользователя домена, который будет соответствовать пользователю вашей локальной сети, и в качестве пути к профилю укажите \\Server\Profiles\HQUser.

На компьютере, содержащем локальный профиль нашего пользователя, нужно войти под учетной записью администратора и при помощи вкладки User Profiles апплета System скопировать его в папку \\Server\Profiles\HQUser.

Нетрудно понять, что при следующем входе в систему под новой доменной учетной записью наш пользователь загрузит свой рабочий профиль с сервера, и администратору останется лишь решить, оставить этот профиль перемещаемым либо сделать локальным.

Квотирование

Очень часто пользователи загружают ненужной информацией сетевые диски. Чтобы избежать постоянных просьб почистить свои личные папки от ненужного мусора (почему-то он всегда оказывается нужным), можно использовать механизм квотирования. Начиная с Windows 2000 это можно делать стандартными средствами на томах NTFS.

Для включения механизма квотирования и его настройки нужно зайти в свойства локального тома и открыть вкладку «Квота» (Quota) (см. рис. 7).

Также можно посмотреть данные о занимаемом пространстве на диске и настроить квоты отдельно для каждого пользователя (см. рис. 8). Система подсчитывает занимаемое место на диске, основываясь на данных о владельце объектов, суммируя объем принадлежащих ему файлов и папок.

Группы пользователей в AD

Управление пользователями в рамках домена – задача несложная. Но когда нужно настроить доступ к определенным ресурсам для нескольких десятков (а то и сотен) пользователей, на раздачу прав доступа может уйти уйма времени.

А если возникает необходимость тонко разграничить права участникам нескольких доменов в рамках дерева или леса, перед администратором встает задача сродни задачам из теории множеств. На помощь здесь приходит использование групп.

Основная характеристика групп, встречающихся в рамках домена, была дана в прошлой статье , посвященной архитектуре службы каталогов.

Напомню, что локальные группы домена могут включать пользователей своего домена и других доменов в лесу, но область ее действия ограничивается доменом, которому она принадлежит.

Глобальные группы могут включать в себя только пользователей своего домена, но есть возможность их использования для предоставления доступа к ресурсам как в рамках своего, так и другого домена в лесу.

Универсальные группы, соответствуя своему названию, могут содержать пользователей из любого домена и использоваться также для предоставления доступа в рамках всего леса. Не важно, в рамках какого домена универсальная группа будет создана, единственное, стоит учитывать, что при ее перемещении права доступа будут теряться и их необходимо будет переназначить заново.

Чтобы понять описанное выше и основные принципы вложенности групп, рассмотрим пример. Пусть у нас есть лес, содержащий два домена HQ.local и SD.local (какой из них корневой в данном случае, не важно). Каждый из доменов содержит ресурсы, к которым нужно предоставить доступ, и пользователей (см. рис. 9).

Из рис. 9 видно, что к ресурсам Docs и Distrib должны иметь доступ все пользователи в лесу (зеленые и красные линии), поэтому мы можем создать универсальную группу, содержащую пользователей из обоих доменов, и использовать ее при указании разрешений на доступ к обоим ресурсам. Либо мы можем создать две глобальные группы в каждом домене, которые будут содержать пользователей только своего домена, и включить их в универсальную группу. Любую из этих глобальных групп также можно использовать для назначения прав.

Доступ к каталогу Base должны иметь пользователи только из домена HQ.local (синие линии), поэтому мы включим их в локальную доменную группу, и этой группе предоставим доступ.

Каталогом Distrib будут иметь право пользоваться как члены домена HQ.local, так и члены домена SD.local (оранжевые линии на рис. 9). Поэтому пользователей Manager и Salary мы можем добавить в глобальную группу домена HQ.local, а затем эту группу добавить в локальную группу домена SD.local вместе с пользователем IT. Затем этой локальной группе и предоставить доступ к ресурсу Distrib.

Сейчас мы рассмотрим вложенность этих групп подробнее и рассмотрим еще один тип групп – встроенные локальные доменные группы.

В таблице показано, какие группы в какие могут быть вложены. Здесь по горизонтали расположены группы, в которые вкладываются группы, расположенные по вертикали. Плюс означает, что один вид групп может быть вложен в другой, минус – нет.

На каком-то ресурсе в Интернете, посвященном сертификационным экзаменам Microsoft, я увидел упоминание о такой формуле – AGUDLP, что значит: учетные записи (Account) помещаются в глобальные группы (Global), которые помещаются в универсальные (Universal), которые помещаются в локальные доменные группы (Domain Local), к которым и применяются разрешения (Permissions). Эта формула в полной мере описывает возможность вложенности. Следует добавить, что все эти виды могут быть вложены в локальные группы отдельно взятой машины (локальные доменные исключительно в рамках своего домена).

Вложенность доменных групп

Вложенность	Локальные группы	Глобальные группы	Универсальные группы
Учетная запись
Локальные группы	+ (за исключением встроенных локальных групп и только в пределах собственного домена)
Глобальные группы		+ (только в пределах собственного домена)
Универсальные группы

Встроенные локальные доменные группы расположены в контейнере Builtin и являются фактически локальными группами машины, но только для контроллеров домена. И в отличие от локальных доменных групп из контейнера Users не могут быть перемещены в другие организационные единицы.

Правильное понимание процесса администрирования учетных записей позволит вам создать четко настроенную рабочую среду предприятия, обеспечив гибкость управления, а главное – отказоустойчивость и безопасность домена. В следующей статье мы поговорим о групповых политиках как инструменте для создания пользовательского окружения.

Приложение

Нюансы доменной аутентификации

При использовании локальных профилей может возникнуть ситуация, когда пользователь домена пытается войти на рабочую станцию, которая имеет его локальный профиль, но по каким-то причинам не имеет доступа к контроллеру. На удивление, пользователь успешно пройдет аутентификацию и будет допущен к работе.

Такая ситуация возникает из-за кэширования мандата пользователя и может быть исправлена внесением изменений в реестр. Для этого в папке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon создать (если таковой нет) запись с именем CachedLogonCount, типом данных REG_DWORD и установить ее значение в ноль. Аналогичного результата можно добиться при помощи групповых политик.

1. Емельянов А. Принципы построение доменов Active Directory, //«Системный администратор», №2, 2007 г. – С. 38-43.

Вконтакте

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

Подписаться

Администратор домена или сетевой администратор – это человек, на которого зарегистрирован домен. У него есть пароль и доступ к управлению доменом. Доменное имя может иметь только одного владельца, эта должность не отводится группе лиц. По своей инициативе администратор может сменить владельца домена.

Больше видео на нашем канале - изучайте интернет-маркетинг с SEMANTICA

Обязанности и права доменного администратора

Задачи человека, который занимает эту должность, состоят в следующем:

• обозначает порядок использования домена;
• определяет, какой организацией будет производиться техническое обслуживание доменного имени;
• выбирает ту компанию, через которую будет осуществляться оплата по регистрации и перерегистрации домена;
• выполняет резервное копирование файлов и каталогов;

Администратор домена несет ответственность за публикуемые на сайте материалы. Они не должны носить оскорбительный характер, нарушать авторское право, противоречить законодательству Российской Федерации. Администратору запрещен доступ к данным в личном кабинете пользователей, а также нельзя и читать их сообщения.

Настройка учетной записи администратора домена

После того, как вы создали и настроили домен, вы должны создать учетную запись администратора домена.

Чтобы настроить учетную запись администратора домена необходимо:

• создать учетную запись нового пользователя на контроллере домена;
• включить вновь созданного пользователя в группу «Администраторы домена».

Для осуществления первого пункта выполните следующие задачи:

• войдите в контроллер домена;
• нажмите «Пуск», выберите «Администрирование» и нажмите «Пользователи и компьютеры ».

На левой панели окна «Пользователи и компьютеры » разверните содержимое вновь созданного домена. Щелкните правой кнопкой мыши папку «Пользователи», выберите «Создать» и выберите «Пользователь». В окне «Новый объект - пользователь» выполните следующие действия:

• введите свои персональные данные в поля «Имя» и «Фамилия»;
• после предоставления необходимой информации нажмите «Далее»;
• укажите произвольный пароль для учетной записи администратора домена и нажмите «Далее»;
• в последнем окне вы можете просмотреть параметры, предоставленные на предыдущих шагах, если вы хотите изменить любые из них, нажмите «Назад»; в противном случае нажмите «Готово», чтобы создать учетную запись администратора домена.

Теперь вы должны включить только что созданную учетную запись в группу «Администраторы домена». При желании самого администратора можно этим же путем изменить данные действующего админа на новые.

Как узнать, кто является администратором домена и написать ему

Наиболее популярный способ – использовать сервис WHOIS .

Это бесплатный инструмент, предоставляющий данные о доменах..

Перед вами информация о том, на кого зарегистрировано доменное имя и контактный телефон. Если на месте имени администратора вы видите надпись Private Person, значит человек заблокировал доступ к своим whois-данным. Вы можете попробовать связаться с ним, написав на электронную почту admin@имя домена.

Рассказать о статье:

Получите профессиональный взгляд со стороны на свой проект

Специалисты студии SEMANTICA проведут комплексный анализ сайта по следующему плану:

– Технический аудит.
– Оптимизация.
– Коммерческие факторы.
– Внешние факторы.

Мы не просто говорим, в чем проблемы. Мы помогаем их решить

20.02.2016 5664

Если вы занимаетесь созданием, продвижением сайтов или же вы обычный рядовой пользователь, решивший зарегистрировать себе домен в интернете, кто бы вы не были, вам просто необходимо узнать историю доменного имени и посмотреть, что за контент размещался на вашем сайте ранее. Но зачем? Представим такую ситуацию: вы купили понравившийся вам домен. И имя такое у него красивенькое и стоит недорого, в общем «ах какой домен». Но тут оказывается, что у «ах какого домена» очень плохая репутация. Продажа ссылок, «взрослый» контент,…

В: Несет ли Администратор домена ответственность за информацию на сайте, размещенном в Интернете под этим доменом?
О: Да. Администратор домена с момента внесения его имени в Реестр лично отвечает за использование домена, в том числе в незаконных целях, вне зависимости от того, кем осуществляется использование домена.

В: Как я могу узнать, кто является Администратором домена?
О: Общедоступную информацию о доменном имени можно получить, воспользовавшись сервисом whois на сайте www.nic.ru . Полная информация об Администраторе домена может быть предоставлена только по запросу суда, правоохранительных органов или по адвокатскому запросу.

В: Является ли распечатка интернет-страницы доказательством правонарушения в Cети?
O: Да, но только в том случае, если она заверена нотариусом. Лицо, заинтересованное в заверении правонарушений (например, использования доменного имени для размещения под ним сайта с предложением к продаже товаров, в отношении которых истцу предоставлена правовая защита в соответствии с законом о товарных знаках), составляет на имя нотариуса запрос, в котором просит удостоверить факт нахождения такой информации по определенному адресу в сети Интернет. При этом в запросе указываются: цель обеспечения доказательств, адрес страницы в сети Интернет, реквизиты документа. Желательно указать заголовок текста или графической информации, ее месторасположение на интернет-странице, конкретные цитаты, которые будут использованы в иске, жалобе или заявлении.

В протоколе осмотра страницы целесообразно указать, каким образом нотариус получил к ней доступ, то есть описать последовательность действий, которые совершены нотариусом для получения экранного изображения интересующей страницы. Нотариальное заверение страницы необходимо произвести до обращения в суд.

В: В течение довольно длительного времени на нашу электронную почту приходит "спам" с адреса xxx@domen. Может ли RU-CENTER аннулировать регистрацию домена?
О: Регистратор вправе применить к Администратору домена только действия, прямо предусмотренные Регламентами регистрации соответствующих доменов.

Администратор домена самостоятельно определяет порядок использования домена; несет ответственность за выбор доменного имени, возможные нарушения прав третьих лиц, связанные с выбором и использованием доменного имени, а также несет риск убытков, связанных с такими нарушениями.

Вопросы создания сайта и размещения на нем информации, а также использование сайта с целью рассылки спама относятся к вопросу использования домена, а не к вопросу его регистрации. Регистратор не вправе вмешиваться в отношения, возникающие у Администратора домена с третьими лицами при использовании домена.

Регистрация доменного имени может быть аннулирована ранее окончания срока регистрации только по основаниям, установленным регламентирующими документами соответствующего Реестра или Регистратора домена.

Соответственно, по всем вопросам использования домена следует, прежде всего, обращаться к его Администратору.

В случае если Администратор домена не реагирует на обращения, рекомендуем обратиться к хостинг-провайдеру, чьи ресурсы используются для незаконной рассылки. Если Вы самостоятельно затрудняетесь определить источник рассылки, то служба поддержки Регистратора будет рада оказать Вам помощь в этом вопросе.

Для этого отправьте, пожалуйста, электронное письмо на адрес [email protected] с изложением ситуации, с которой Вы столкнулись и служебными заголовками нежелательного сообщения. С инструкциями по просмотру служебных заголовков почтовых сообщений Вы можете ознакомиться на нашем сайте.

В: Может ли доменное имя быть зарегистрировано на двух лиц (например, юридическое и физическое)?
O: Нет, оно может быть зарегистрировано только на одно лицо (физическое либо юридическое).

В: Что означает термин "Администратор домена"? Какими полномочиями наделен администратор домена?
О: Администратор домена - это юридическое или физическое лицо, на имя которого регистрируется домен.

Администратор домена самостоятельно выбирает доменное имя.

Администратор домена определяет, как будет использоваться домен, а также кто будет осуществлять техническую поддержку домена.

Администратор домена владеет паролем (и может его изменять) для доступа к информации о домене (контактные данные, смена паролей), может передать свои права на управление доменом другому лицу, оставаясь вместе с тем ответственным за возможные нарушения прав третьих лиц, связанные с выбором и использованием доменного имени.

В: Могу ли я получить официальный ответ о том, что наша организация является Администратором домена?
О: Для доменов, зарегистрированных в RU-CENTER, можно получить справку о принадлежности домена, выслав запрос по адресу [email protected] , c указанием названия домена и способа доставки справки.

Справку о принадлежности домена можно получить следующими способами:

• письмом на почтовый адрес администратора;
• по факсу;
• в офисе RU-CENTER.

Администратор домена может распечатать копию справки о принадлежности домена самостоятельно в разделе «Для клиентов» → «Мои домены», выбрав домен, для которого нужна справка.

В: Для решения возникшего спорного вопроса нам необходимо получить более полную информацию об Администраторе домена, чем та, которая предоставлена службой WHOIS. Можем ли мы ее получить?
О: Информация об Администраторе домена, содержащаяся в закрытой базе данных RU-CENTER, может быть предоставлена по письменному запросу суда, правоохранительных органов или по адвокатскому запросу (в порядке ст.6. Федерального закона № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации». Требования к оформлению адвокатского запроса, в т.ч. образец такого запроса, утверждены Приказом Министерства юстиции Российской Федерации от 14.12.2016 № 288 "Об утверждении требований к форме, порядку оформления и направления адвокатского запроса" (Зарегистрирован в Минюсте России 22.12.2016 № 44887).

В: Домен зарегистрировали на одного из сотрудников нашей организации, т.е. именно он является администратором данного домена. А можно ли сделать так, чтобы администратором домена выступала наша организация в целом?
О: Да, Администратор домена (юридическое или физическое лицо) может передать права на домен другой организации или физическому лицу. Для этого требуется предоставить письмо от Администратора домена. Принимающая сторона должна подтвердить прием доменов в разделе "Для клиентов".

Более подробную информацию о передаче прав можно найти .

В: На сайте размещена информация, содержащая оскорбления в мой адрес. Я уже обращался к администрации сайта с просьбой удалить данную информацию, порочащую мою репутацию и несоответствующую действительности. Но так и не получил ответа. Куда я могу обратиться за помощью?
О: Для разрешения сложившейся ситуации рекомендуем вам прежде всего нотариально засвидетельствовать находящуюся на сайте информацию. Затем вы можете обратиться в суд с иском в адрес лиц, разместивших эту информацию, или обратиться в правоохранительные органы. RU-CENTER осуществляет деятельность по регистрации доменов, но не обладает полномочиями, необходимыми для разрешения вашего вопроса. Что касается полной информации об Администраторе домена, то она может быть предоставлена только по запросу суда, правоохранительных органов или по адвокатскому запросу.

В: На сайте размещены материалы с противоправным контентом: куда вы можете посоветовать обратиться для пресечения подобной деятельности?
О: По данным вопросам можно обращаться к специалистам хостинг-провайдера, на чьих ресурсах размещен сайт, или к специалистам Регистратора домена, для получения дополнительных рекомендаций.

В: Наша организация является правообладателем товарного знака/фильма/статьи/программы для ЭВМ/иного результата интеллектуальной деятельности, который незаконно размещен на сайте, услуги хостинга для которого предоставляет RU-CENTER. К кому вы можете посоветовать обратиться для пресечения подобной деятельности?

О: Рекомендуем вам обратиться к владельцу сайта, где незаконно размещены ваши результаты интеллектуальной деятельности. Если владелец сайта не отвечает, вы можете обратиться в RU-CENTER с жалобой. Требования компании RU-CENTER к оформлению жалоб и порядок их рассмотрения регулируется Правилами рассмотрения жалоб правообладателей на нарушение пользователями услуг хостинга исключительных прав на использование результатов интеллектуальной деятельности и (или) приравненных к ним средств индивидуализации, размещенными на сайте RU-CENTER по адресу: https://nic.ru/dns/reglaments/rules_petition.html .

В: Можно ли передать домен по наследству? И как это сделать?
О: Прежде всего следует отметить, что применительно к доменным именам нельзя говорить о наследовании, так как регистрация домена происходит на основании договора возмездного оказания услуг, а в соответствии со ст. 1112 и ст. 128 Гражданского кодекса РФ услуги в наследственную массу не входят. Однако RU-CENTER предлагает для своих клиентов нижеописанный порядок получения прав администрирования домена в случае смерти его администратора (физического лица) и по прошествии 6 месяцев со дня открытия наследства, то есть со дня смерти администратора домена .
Для этого претенденту (формальному наследнику) необходимо заключить договор с АО "РСИЦ" (RU-CENTER) и предоставить регистратору:

1. письменное заявление на имя генерального директора АО "РСИЦ", в котором изложить просьбу о регистрации домена на имя претендующего в связи со смертью прежнего администратора домена (по форме регистратора);
2. нотариально заверенную копию свидетельства о смерти;
3. нотариально заверенную копию свидетельства о праве на наследство (если есть) или справку от нотариуса, в которой указаны наследники наследодателя;
4. согласие наследников (если у умершего администратора домена более одного наследника) на регистрацию домена на имя заинтересованного лица в форме заявления на имя генерального директора АО "РСИЦ" (RU-CENTER) по форме регистратора.

Администрирование домена

"...Администрирование домена - реализация Администратором домена порядка использования домена и осуществление организационной и технической поддержки его функционирования. Аннулирование регистрации (освобождение доменного имени) - исключение информации о доменном имени и его Администраторе из Реестра..."

Источник:

ПОСТАНОВЛЕНИЕ Правительства Москвы от 30.08.2005 N 656-ПП

(вместе с "РЕГЛАМЕНТОМ РЕГИСТРАЦИИ И ПОДДЕРЖКИ ДОМЕННЫХ ИМЕН В ЗОНЕ MOS.RU")

Официальная терминология . Академик.ру . 2012 .

Смотреть что такое "Администрирование домена" в других словарях:

UZINFOCOM - Центр развития и внедрения компьютерных и информационных технологий (UZINFOCOM) образован в 2002 году Указом Президента Республики Узбекистан и является структурным подразделением Узбекского агентства связи и информатизации (УзАСИ). Центр… … Википедия

.su - У этого термина существуют и другие значения, см. SU. .su Введение 1990 год Тип домена национальный домен верхнего уровня Статус действующий … Википедия

Узел (Active Directory) - У этого термина существуют и другие значения, см. Узел (значения). Узел (в рамках терминологии Active Directory), сайт (калька от англ. site) сегмент сети, отделённый от других сегментов дорогими и/или медленными соединениями (обычно… … Википедия

Сайт (Active Directory) - Узел (в рамках терминологии Active Directory), сайт (калька от англ. site) сегмент сети, отделённый от других сегментов дорогими и/или медленными соединениями (обычно через интернет или поставщика телематических услуг). При этом в каждом узле… … Википедия

Регистрация доменов - Занесение информации о домене и его администраторе в центральную базу данных с целью обеспечения уникальности использования домена, а также получения прав на администрирование домена владельцем. Услуга по регистрации домена является платной … Краткий толковый словарь по полиграфии

Групповая политика - Эта статья или раздел нуждается в переработке. Статья представляет собой учебник вместо энциклопедической статьи Пожалуйста, улучшите статью в соответствии с правилами написания с … Википедия

Домен верхнего уровня - Домен верхнего (первого) уровня (англ. top level domain TLD) в иерархии системы доменных имён (DNS) самый высокий уровень после корневого домена (англ. root domain). Является начальной точкой отсчёта (справа налево), с… … Википедия

Active Directory - («Активные директории», AD) LDAP совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения… … Википедия

Novell NetWare - В этой статье не хватает ссылок на источники информации. Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена. Вы можете отредактировать э … Википедия

Брандмауэр Windows - Компонент Microsoft Windows Детали Другие названия … Википедия

Книги

• Windows Server 2008 Server Core. Справочник администратора , Таллоч Митч. Данная книга - краткий исчерпывающий справочник по администрированию нового варианта установки серверной операционной системы Windows Server 2008 - Windows Server 2008 Server Core.…

Администрирование доменов

Время, которое администратор тратит на выполнение операций управления системой, во многом зависит от используемого инструментария. В составе Windows Server 2003 поставляется множество системных утилит и оснасток самого разного назначения. Более того, одна и та же операция может быть выполнена различными инструментами. Поэтому администратору необходимо знать имеющиеся возможности и умело их использовать.
В данной главе будут рассмотрены некоторые из наиболее важных инструментов администрирования доменов на базе Active Directory. Это те инструменты, которые используют в своей повседневной работе администраторы службы каталога. Кроме того, описываются способы выполнения типовых операций по управлению Active Directory.
Начнем с краткого обзора имеющихся средств администрирования.

Управление объектами каталога

В распоряжении администратора имеется множество инструментов, посредством которых он может создавать или удалять объекты Active Directory, a также изменять их атрибуты. Некоторые из этих инструментов позволяют управлять отдельными объектами, другие позволяют управлять группами объектов (так называемый пакетный режим). Многие задачи могут быть выполнены любым из этих инструментов. Ниже перечислены все основные средства управления каталогом Active Directory, предоставляемые системами Windows Server 2003.

• Стандартные, устанавливаемые по умолчанию оснастки - стандартные утилиты с графическим интерфейсом, позволяющие осуществлять управление только отдельными объектами и имеющие ограниченные возможности по выполнению групповых операций:
  • оснастка позволяет работать с пользователями, контактами, группами, компьютерами, пользователями из внешних служб каталога, принтерами, общими папками и организационными единицами;
  • оснастка предназначена для манипулирования сайтами, подсетями, связями и соединениями;
  • оснастка позволяет осуществлять управление доверительными отношениями между доменами.
• Специализированные оснастки - утилиты с графическим интерфейсом, используемые для выполнения специальных операций либо для точной настройки и отладки Active Directory:
  • оснастка Active Directory Schema позволяет осуществлять управление содержимым схемы, создавать новые классы атрибутов и объектов. Эта утилита не создается по умолчанию. Администратор должен создать ее самостоятельно, загрузив соответствующую оснастку в пустую консоль ММС;
  • оснастка ADSI Edit , утилиты Ldp.exe и AdsVw.exe. Эти утилиты позволяют редактировать отдельные атрибуты существующих объектов. Однако они могут быть использованы также для создания объектов любого типа (включая те, которые невозможно создать при помощи стандартных инструментов).
• Утилиты LDIFDE и CSVDE - утилиты командной строки, предназначенные для выполнения операций импорта/экспорта объектов каталога. Эти утилиты могут быть использованы как средство повышения эффективности администрирования крупномасштабных инсталляций Active Directory. Утилиту LDIFDE можно также применять для изменения атрибутов множества однотипных объектов.
• Специальные сценарии и утилиты, позволяющие выполнять специфические задачи:
  • утилиты DsAdd.exe и AddUsers.exe, сценарии CreateUsers.vbs, CreateGroups.vbs и другие специализированные утилиты командной строки (например, утилиту NetDom.exe можно использовать для создания учетных записей компьютеров домена);
  • сценарии ADSI (Active Directory Service Interfaces) - самый гибкий и довольно простой способ манипулирования объектами Active Directory. Эти сценарии используют программный интерфейс ADSI для доступа к каталогу.

Поиск объектов в каталоге

Служба каталога используется клиентами для обнаружения сетевых ресурсов, точное местоположение которых зачастую неизвестно. Для поиска объектов в каталоге Active Directory клиенты могут использовать перечисленные ниже инструменты (некоторые из которых доступны клиентам любого типа,. включая клиентов нижнего уровня, а некоторые могут работать только в системах Windows 2000/XP и Windows Server 2003).

• Встроенные средства поиска - самый удобный для пользователя способ найти общую папку или принтер, пользователя, группу или иной общедоступный объект. Большинство пользователей могут воспользоваться только этим методом поиска. Все другие, перечисленные ниже, средства предназначены исключительно для администраторов.
• Утилиты командной строки DsQuery.exe и DsGet.exe, входящие в состав Windows Server 2003, представляют собой стандартный инструмент, посредством которого администратор может обращаться с запросами к каталогу.
• Оснастка ADSI Edit. С помощью этого инструмента, входящего в состав пакета Windows Server 2003 Support Tools, администратор может формировать запросы с целью поиска в каталоге необходимых объектов. Данная утилита позволяет также модифицировать найденные объекты независимо от того, к какому разделу каталога они принадлежат.
• Сценарий Search.vbs" - самое простое средство для выполнения запросов, использующее протокол LDAP. Сценарий входит в состав пакета Windows Server 2003 Support Tools.
• Утилита Active Directory Administration Tool (Ldp.exe), входящая в состав пакета Windows Server 2003 Support Tools, представляет собой сложный административный инструмент, позволяющий просматривать дерево каталога и модифицировать объекты. Утилита использует протокол LDAP для доступа к каталогу и является единственным средством, позволяющим получить доступ к удаленным объектам.

При работе с большинством из перечисленных инструментов требуется хорошее знание синтаксиса фильтров LDAP. Только в этом случае вы сможете быстро и точно выбирать нужные объекты.

Настройка команды поиска на клиентском компьютере

Напомним, что механизмы доступа к службе каталога реализованы только в составе операционных систем Windows 2000/XP и Windows Server 2003. Операционные системы Windows 9x/ME/NT также могут взаимодействовать со службой каталога, однако для этого необходимо установить на компьютере службу клиента Active Directory (DSClient). Служба клиента поставляется в составе дистрибутивного диска Windows Server 2003.
Ярлык для операций поиска может быть добавлен на рабочий стол или в любую папку файловой системы. Для этого необходимо вызвать контекстное меню родительского объекта и в нем выбрать команду New | Shortcut (Создать | Ярлык). В поле Type the location of the item (Укажите местоположение объекта) необходимо ввести строку: rundll32.exe dsquery,OpenQueryWindow
В следующем окне дайте ярлыку имя и нажмите кнопку Finish (Готово). При необходимости созданный ярлык можно переместить в некоторую папку или меню. Теперь этот ярлык может использоваться для вызова окна поиска объектов в каталоге. Из этого окна можно выполнять поиск пользователей, контактов, групп, принтеров, подразделений и т. д. Область поиска ресурсов может варьироваться от конкретного контейнера (подразделения) до целого домена или всего леса доменов. Выбор параметра Entire Directory (Вся папка) эквивалентен поиску в Глобальном каталоге.

Основные оснастки для администрирования Active Directory

После того как на базе некоторого сервера под управлением Windows Server 2003 создан контроллер домена, в группе Administrative Tools (Администрирование) на панели управления появляются новые инструменты (табл. 20.1).
Перечисленные в табл. 20.1 оснастки входят в состав пакета Windows Server 2003 Administrative Tools. Они могут быть установлены на любом компьютере под управлением Windows XP или Windows Server 2003, входящем в состав леса доменов. В этом случае оснастки Security Policy (Политики безопасности) не появляются в меню Start (Пуск).

Таблица 20.1. Стандартные средства администрирования Active Directory

Оснастки	Назначение
Active Directory Domains and Trusts (Active Directory - домены и доверия)	Выбор администрируемого домена в больших лесах. Просмотр режима работы домена. Создание, проверка и удаление доверительных отношений между доменами
Active Directory Sites and Services (Active Directory - сайты и службы)	Создание и изменение сайтов, транспортов и подсетей. Настройка расписаний репликации и связей (links). Запуск репликации между контроллерами домена. Установка разрешений на объекты. Привязка объектов групповой политики (GPO) к сайтам. Запуск серверов глобального каталога на контроллерах домена
Active Directory Users and Computers (Active Directory - пользователи и компьютеры)	Создание и изменение объектов каталога (пользователей, групп, подразделений и т. д.). Установка разрешений на объекты. Привязка объектов групповой политики (GPO) к доменам и подразделениям (OU). Управление специализированными ролями (FSMO)
Domain Controller Security Policy (Политика безопасности контроллера домена)	Модификация узла Security Settings (Параметры безопасности) объекта групповой политики, привязанного к подразделению Domain Controllers. Для редактирования всего GPO используйте оснастку Group Policy Object Editor
Domain Security Policy (Политика безопасности домена)	Модификация узла Security Settings объекта групповой политики, привязанного к контейнеру домена. Для редактирования всего GPO используйте оснастку Group Policy Object Editor
Group Policy Object Editor (Редактор объекта групповой политики)	Модификация объекта групповой политики, привязанного к некоторому контейнеру Active Directory (сайту, домену, подразделению) или хранящегося локально на компьютере. Эта оснастка не отображается в меню Start (Пуск), однако она доступна из других административных оснасток или может быть добавлена к пользовательской консоли ММС

Некоторые дополнительные инструменты (табл. 20.2) для администрирования Active Directory поставляются в составе пакета Windows Server 2003 Support Tools. Эти инструменты незаменимы в некоторых случаях для тонкой настройки и мониторинга Active Directory.

Таблица 20.2. Дополнительные средства администрирования Active Directory (из пакета Windows Server 2003 Support Tools)

Утилита	Описание
ADSI Edit (AdsiEdit.msc)	"Низкоуровневое" редактирование объектов Active Directory, расположенных в любом разделе каталога (раздел доменных имен, разделы конфигурации и схемы). Посредством утилиты можно также получить информацию об объекте RootDSE. Администратор может использовать утилиту для установки разрешений на доступ к объектам
Active Directory Administration Tool (Ldp.exe)	Утилита может использоваться для поиска и модификации объектов Active Directory при помощи запросов LDAP
Active Directory Replication Monitor (ReplNon.exe)	Утилита может использоваться для мониторинга состояния репликации и существующей топологии репликации. Утилита позволяет инициировать процесс репликации. Кроме того, утилита может быть использована для получения информации об исполнителях специализированных ролей и статусе контроллеров домена

Средства поиска и редактирования Windows Server 2003

В системах Windows Server 2003 имеется набор эффективных утилит, позволяющих выполнять многие операции с объектами Active Directory из командной строки или из командных файлов. Все эти утилиты используют протокол LDAP и могут работать с любыми доменами на базе Active Directory (Windows 2000 и Windows Server 2003). При этом запускаться они могут только на компьютерах под управлением Windows XP или Windows Server 2003.

• DsAdd - позволяет создать объект заданного типа: computer, contact, group, OU, user или quota.
• DsQuery и DsGet - служат для поиска объектов каталога любого типа или с указанным типом. Утилита Dsget.exe позволяет отображать атрибуты объектов указанного типа. Например, для поиска всех пользователей домена можно использовать команду dsquery user.
• DsMod - позволяет изменять атрибуты объектов указанного типа: computer, contact, group, OU, server или user.
• DsMove - позволяет переименовать или переместить объект любого типа.
• DsRm - служит для удаления объектов каталога или целых поддеревьев каталога (например, можно удалить подразделение со всем содержимым).

Оснастка Active Directory Users and Computers

Оснастка Active Directory Users and Computers является основным инструментом, посредством которого администратор осуществляет управление содержимым доменных разделов каталога. Вот перечень лишь основных операций: создание, модификация и удаление объектов различного типа, привязка объектов групповых политик к контейнерам Active Directory, настройка прав доступа к объектам каталога, аудит. Знание возможностей этой оснастки позволяет повысить эффективность выполнения рутинных операций, особенно в случае, когда доменные разделы содержат большое количество объектов, что затрудняет их поиск и работу с ними.
Active Directory Users and Computers имеет насколько новых возможностей:

• одновременная работа с несколькими объектами каталога;
• операции, выполняемые с помощью мыши (например, перемещение объектов между контейнерами);
• хранимые запросы (saved queries).

Для выполнения операций с каталогом оснастка Active Directory Users and Computers должна быть подключена к некоторому контроллеру домена (которые выступают в качестве носителя копии разделов каталога). Оснастка может быть подключена только к одному контроллеру домена и, соответственно, к одному доменному разделу. По умолчанию оснастка подключается к контроллеру домена, в котором зарегистрировался текущий пользователь. Администратор может подключить оснастку к любому другому контроллеру домена, а также к другому домену при условии наличия у него соответствующих прав.

Режим Saved Queries (Сохраненные запросы)

Благодаря этому режиму администратор имеет возможность сохранять предварительно созданные LDAP-запросы. Впоследствии администратор может использовать сохраненные запросы для быстрого поиска требуемых объектов. Сохраненные запросы избавляют администратора от необходимости многократного определения однотипных фильтров при формировании LDAP-запросов.
Оснастка позволяет организовать сохраненные запросы в некую иерархическую структуру в соответствии с предпочтениями администратора. Данная структура формируется внутри контейнера Saved Query оснастки. В рамках этого контейнера могут размещаться как непосредственно сохраненные запросы, так и контейнеры, используемые для их логической организации.
Чтобы создать сохраненный запрос, в контекстном меню контейнера выберите команду New | Query (Создать | Запрос). В открывшемся окне (рис. 20.1) необходимо дать имя создаваемому запросу и краткое описание. Параметр Query root (Корень запроса) задает область поиска. По умолчанию запрос охватывает домен целиком. При необходимости администратор может ограничить область поиска некоторым подразделением. Если требуется, чтобы поиск осуществлялся и во вложенных контейнерах, администратор должен установить флажок Include subcontainers (Включая вложенные контейнеры). Чтобы сформировать LDAP-запрос, нужно щелкнуть по кнопке Define Query (Определить запрос) и выбрать объекты и критерии поиска.
В конечном итоге, администратор может сформировать некоторую произвольную иерархию запросов (рис. 20.2). Для логической организации запросов можно использовать контейнеры. Чтобы создать контейнер, в контекстном меню корневого контейнера выбрать New | Container (Создать | Контейнер).
Сохраненные запросы хранятся не в виде объектов каталога, а в виде атрибутов оснастки. Таким образом, запросы сохраняются вместе с другими настройками оснастки. По умолчанию настройки административных оснасток размещаются в XML-файле в папке Documents and settings \ <имя_пользователя>\Аррliсаtion Data\Microsoft\MMC. Если администратор будет запускать оснастки с различных контроллеров домена, запросы будут сохранены только для одного из экземпляров оснастки. В этой ситуации оптимальным решением будет размещение всех административных оснасток в перемещаемом профиле пользователя. При этом одни и те же настройки оснастки будут использоваться администратором независимо от того, на каком контроллере домена он их запускает.

Рис. 20.1. Создание сохраненного запроса

Рис. 20.2. Структура сохраненных запросов

Существующие сохраненные запросы могут быть экспортированы в XML-файлы. Эти файлы могут быть переданы другим пользователям или администраторам для последующего использования (при этом они должны импортировать запросы в свои экземпляры оснасток). Для экспорта запроса необходимо в его контекстном меню выбрать пункт Export Query Definition (Экспортировать определение запроса).

Работа с множеством объектов

В системах Windows Server 2003 оснастка Active Directory Users and Computers предоставляет пользователю возможность манипуляции множеством объектов. Другими словами, пользователь может задействовать в некоторой операции сразу несколько объектов. Для большинства классов объектов (группы, компьютеры, подразделения и т. п.) единственной доступной групповой операцией является изменение описания. В случае объектов, ассоциированных с учетными записями пользователей, имеется порядка 30 атрибутов, которые допускается изменять сразу для множества объектов.

Рис. 20.3. Одновременное изменение атрибутов множества учетных записей пользователей

Выделение множества объектов осуществляется стандартным для интерфейса Windows способом - при помощи клавиш и . Выделив объекты, щелкните правой кнопкой мыши, чтобы вызвать контекстное меню. Для изменения атрибутов выбранных объектов в контекстном меню выберите пункт Properties (Свойства). Это приведет к открытию модифицированного окна свойств для выбранного класса объектов. Применительно к объектам, ассоциированным с учетными записями пользователей, окно свойств показано на рис. 20.3.
Обратите внимание на то, как происходит изменение атрибутов. Если необходимо изменить указанный атрибут для всех выбранных объектов, установите напротив него флажок и определите его значение. В ситуации, когда администратор не определяет для атрибута новое значение, существующее значение данного атрибута у выделенных объектов сбрасывается. Например, администратор может поменять порядок изменения паролей для выбранных объектов, ассоциированных с учетными записями пользователей.

Публикация папок и принтеров

Служба Active Directory значительно упрощает работу с общими сетевыми ресурсами по сравнению с традиционными методами просмотра доменов. Информация о любом ресурсе может быть опубликована (published) в каталоге Active Directory. Публикация папки или принтера в Active Directory подразумевает под собой создание в каталоге нового объекта - Shared Folder (Общая папка) или Printer (Принтер) соответственно.
В этом случае пользователи могут использовать службу каталога для поиска ресурсов (например, с помощью команды Search | For Printers в меню Start ). Место публикации ресурсов определяется существующей структурой каталога. Если в домене существуют организационные единицы, созданные для объединения ресурсов, то каждый тип ресурса будет располагаться в отдельной организационной единице. Если же организационные единицы создавались для реализации административной иерархии, ресурсы будут размещаться в контейнерах в зависимости от их принадлежности к некоторому структурному подразделению корпорации.
В процессе создания в каталоге объекта, ассоциированного с общей папкой, администратор может указать ключевые слова, которые характеризуют содержимое папки. Эти ключевые слова могут быть использованы для поиска в каталоге необходимой общей папки на основании ее характеристик. Если пользователь выполняет в каталоге поиск общих папок, он может указать некоторые ключевые слова и найти ресурсы по их содержимому, а не по их именам. Чтобы задать ключевые слова в пространстве имен утилиты Active Directory Users and Computers , выберите объект, ассоциированный с общей папкой, и вызовите окно свойств объекта. В открывшемся окне щелкните на кнопке Keywords (Ключевые слова). Надо будет добавить в список слова, логически связанные с содержимым папки.
При публикации папки необходимо быть внимательным. Система не выполняет проверки введенного имени папки. В том случае, если при публикации была допущена ошибка, пользователи не смогут подключиться к указанной папке.
Принтеры, подключенные к компьютерам, под управлением Windows 2000/ХР или Windows Server 2003, могут быть опубликованы только из окна свойств принтера. Для этого на вкладке Sharing (Доступ) необходимо установить флажок List in the Directory (Отображать в каталоге).
Процессом публикации и удаления (pruning) принтеров в домене администратор может управлять при помощи механизма групповых политик. Соответствующий объект находится в узле Computer Configuration | Administrative Templates | Printers пространства имен оснастки Group Policy Object Editor .

Оснастка Active Directory Sites and Services

Оснастка Active Directory Sites and Services представляет собой основной инструмент с графическим интерфейсом, посредством которого администратор может управлять физической структурой Active Directory - подсетями, сайтами и соединениями; другие же административные оснастки представляют Active Directory на логическом уровне как единое целое. Оснастка Active Directory Sites and Services является одним из основных средств администрирования Active Directory в том случае, когда корпоративная сеть реализована в виде нескольких сайтов. В случае, если механизм сайтов не используется при построении службы каталога (т. е. сайт только один - созданный по умолчанию), данная оснастка, скорее всего, останется невостребованной.
Оснастка Active Directory Sites and Services позволяет выполнять следующие операции:

• изменение топологии репликации в лесе доменов (создание/удаление сайтов, подсетей и соединений);
• определение стоимости для соединений (cost);
• изменение расписаний и интервалов для репликации внутри сайта и между сайтами;
• определение мостовых серверов (bridgehead server);
• инициация процесса репликации внутри сайта и между сайтами;
• запуск сервиса Knowledge Consistency Checker (KCC) для регенерации топологии репликации;
• делегирование пользователям или группам прав на управление сайтами, подсетями, серверами и другими контейнерами в разделе конфигурации;
• настройка параметров безопасности и аудита для различных объектов, определяющих топологию репликации;
• выбор объектов GPO, привязка объектов GPO к сайтам и запуск оснастки Group Policy Object Editor для редактирования объектов GPO;
• назначение контроллерам домена роли сервера глобального каталога;
• назначение политик запросов LDAP.

На рис. 20.4 показан пример окна оснастки Active Directory Sites and Services . В приведенном примере представлены практически все основные элементы сетевой топологии Active Directory: сайты, подсети, межсайтовые соединения, соединения между контроллерами домена в рамках сайта, а также непосредственно сами контроллеры домена.

Рис. 20.4. Пример окна оснастки Active Directory Sites and Services

Кэширование информации о составе групп с универсальной областью действия

Каждый контроллер домена под управлением Windows Server 2003, не являющийся сервером глобального каталога, может хранить информацию о составе групп безопасности с универсальной областью действия (universal group) и поддерживать ее в актуальном состоянии, периодически выполняя обновление. Кэширование позволяет избежать частых обращений к серверу глобального каталога для получения информации о составе групп с универсальной областью действия. Эта информация необходима, например, в процессе аутентификации пользователей.

Примечание

Режим кэширования доступен только для контроллеров домена под управлением Windows Server 2003, не являющихся серверами глобального каталога.

Рис. 20.5. Активизация режима кэширования информации о составе универсальных групп

Чтобы активизировать процесс кэширования информации о составе универсальных групп, нужно открыть окно свойств объекта NTDS Site Settings (Настройки NTDS сайта), расположенного непосредственно внутри контейнера, ассоциированного с требуемым сайтом. В открывшемся окне (рис. 20.5) на вкладке Site Settings (Настройки сайта) необходимо установить флажок Enable Universal Group Membership Caching (Включить кэширование информации о составе универсальных групп). При этом в раскрывающемся списке Refresh cache from (Обновлять кэш из) следует выбрать сайт, к которому будут осуществляться обращения для обновления содержимого кэша.

Оснастка Active Directory Domains and Trusts

Оснастка Active Directory Domains and Trusts позволяет осуществлять управление структурой леса домена и, в первую очередь, ориентирована на администратора уровня предприятия. Эта оснастка позволяет просмотреть лес доменов и выбрать некоторый домен для администрирования, а также управлять доверительными отношениями между доменами и лесами. На рис. 20.6 показан пример оснастки Active Directory Domains and Trusts , в которой отображается структура леса доменов, состоящего из двух деревьев (с корневыми доменами khsu. ru и khsu. khakasnet. ru).

Рис. 20.6. Оснастка Active Directory Domains and Trusts

Чтобы перейти к администрированию домена, необходимо в его контекстном меню выбрать команду Manage (Управление). При этом для выбранного домена будет запущена оснастка Active Directory Users and Computer .
Использование оснастки Active Directory Domains and Trusts для создания доверительных отношений рассматривалось в разд. "Управление доверительными отношениями" предыдущей главы.

Делегирование административных полномочий

После создания домена все полномочия на управление им сосредоточены в руках специальной категории пользователей - администраторов домена. Администраторы домена обладают абсолютными правами на выполнение любых операций. Следует заметить, что использование механизма организационных единиц и сайтов позволяет реализовывать домены огромного размера с разветвленной инфраструктурой. Управление подобным доменом характеризуется большой нагрузкой на администраторов. Однако реализация подобной инфраструктуры, отражающей логическую и физическую структуру организации, дает возможность делегировать выполнение определенной части задач на квалифицированных пользователей на "местах".
Механизм делегирования некоторой части административных полномочий выгодно отличается от подхода, когда проблема увеличения нагрузки на администраторов решается за счет увеличения их количества. Увеличение количества пользователей, обладающих неограниченными правами на управление доменом, нежелательно. Подобные права должны предоставляться исключительно квалифицированным специалистам, а привлечение большого числа квалифицированных специалистов сопряжено с высокими финансовыми затратами. Механизм делегирования предполагает передачу пользователям полномочий, необходимых для выполнения отдельных операций. Это рутинные операции, выполнение которых не требует от исполнителя обширных знаний. Делегирование этих операций пользователям в подразделениях и сайтах позволяет высвободить администратора для выполнения других более сложных задач.
С точки зрения архитектуры Active Directory, делегирование полномочий на выполнение некоторых операций подразумевает под собой предоставление пользователю необходимых разрешений на доступ к объектам каталога. Это разрешения на создание дочерних объектов, их удаление, изменение атрибутов и т. п. Подобные полномочия нужны для выполнения определенных операций.
В качестве примера можно привести ситуацию с созданием учетных записей для новых сотрудников, а также изменение паролей для существующих. Эти операции могут быть делегированы пользователям в организационных единицах (назовем их администраторами организационных единиц). Помимо разгрузки администратора домена, делегирование позволяет также сократить срок принятия элементарных решений. В приведенном примере для создания учетной записи не надо обращаться к администратору домена (который, в случае множества сайтов, может даже находиться в другом городе).
Операция делегирования административных полномочий осуществляется при помощи мастера Delegation of Control Wizard (Мастер делегирования полномочий). Этот мастер может быть вызван из оснасток Active Directory Users and Computers и Active Directory Sites and Services . Посредством этого мастера администратор может осуществлять делегирование полномочий на уровне отдельных контейнеров каталога.
Полный перечень контейнеров, на уровне которых может быть осуществлено делегирование, приведен в табл. 20.3. Существует два режима делегирования. В первом случае мастер предлагает выбрать из списка операцию, которая будет делегирована пользователю. Во втором случае администратор должен выбрать из списка объекты, право создания или удаление которых будет делегировано выбранной категории пользователей. Этот режим делегирования требует четкого понимания всех совершаемых действий и рассчитан на опытных администраторов.

Таблица 20.3. Уровни делегирования полномочий

Объект каталога	Описание
Контейнер Sites	Делегированные на этом уровне полномочия распространяются на все сайты леса доменов
Контейнер Inter-Site Transport	На этом уровне могут быть делегированы полномочия для управления соединениями сайтов (создание, конфигурирование или удаление), а также транспортами репликации
Контейнер Subnets	На этом уровне администратор может делегировать полномочия для управления подсетями, образующими сайты (создание, изменение и удаление)
Конкретный сайт	Используя этот уровень делегирования, администратор может предоставить полномочия на управление сайтом (в том числе и управление процессом репликации)
Конкретный домен	На этом уровне администратор может делегировать полномочия на включение клиентов в состав домена, что означает создание объекта, ассоциированного с учетной записью компьютера, а также полномочия на управление ссылками групповой политики на уровне домена
Конкретное подразделение (OU)	На этом уровне администратор может делегировать некоторым пользователям полномочия, действие которых ограничивается выбранным подразделением. Конкретные полномочия, которые будут делегированы, определяются целями, с которыми создавалось это подразделение
Контейнер Computers	Делегируя полномочия на этом уровне, администратор предоставляет пользователям полномочия на управление объектами, ассоциированными с учетными записями компьютеров
Контейнер Domain Controllers	На этом уровне администратор предоставляет пользователям полномочия на управление учетными записями контроллеров домена
Контейнер System	Делегируя полномочия на этом уровне, администратор предоставляет полномочия на управление объектами, значение атрибутов которых определяют параметры различных служб Active Directory
Контейнер Users	На этом уровне администратор предоставляет пользователям полномочие на управление учетными записями пользователей

В табл. 20.4 перечислены задачи, выполнение которых администратор может делегировать на уровне отдельной организационной единицы, а также контейнеров Computers, Domain Controllers, ForeignSecurityPrincipals, System и Users .

Таблица 20.4. Задачи, которые могут быть делегированы на уровне организационных единиц

Задача	Описание
Create, delete, and manage user account	Полномочия на создание, удаление и управление учетными записями пользователей
Reset user passwords and force password change at next logon	Полномочия на изменение паролей учетных записей пользователей, а также установка требования на изменение пароля самим пользователем при следующей регистрации в системе
Read all user information	Полномочия на просмотр любой информации о пользователях
Create, delete, and manage groups	Полномочия на создание, удаление и управление группами пользователей
Modify the membership of a group	Полномочия на изменение членства в группе
Manage Group Policy links	Полномочия на управление ссылками групповой политики
Generate Resultant Set of Policy (Planning)	Полномочия, необходимые для генерации результирующих политик в режиме планирования
Generate Resultant Set of Policy (Logging)	Полномочия, необходимые для генерации результирующих политик в режиме ведения журнала
Create, delete and manage inetOrgPerson accounts	Полномочия на создание, удаление и управление объектами класса inetOrgPerson
Reset inetOrgPerson passwords and force password change at next logon	Полномочия на изменение паролей, сопоставленных объектам класса inetOrgPerson, а также установка требования на изменение пароля самим субъектом подсистемы безопасности при следующей регистрации в системе
Read all inetOrgPerson information	Полномочия на просмотр любой информации об объекте класса inetOrgPerson

Процесс делегирования полномочий выполняется следующим образом. Запустите оснастку Active Directory Users and Computers . Выберите контейнер, для которого вы хотите делегировать полномочия и вызовите его контекстное меню. Выберите в меню пункт Delegate Control (Делегировать управление), чтобы запустить мастер Delegation of Control Wizard (Мастер делегирования полномочий). На странице Users or Groups необходимо определить пользователей, которым будут делегированы полномочия (рис. 20.7).

Рис. 20.7. Выбор пользователей, которым будут делегированы полномочия

Для большинства контейнеров на следующей странице мастер предложит выбрать задачи для делегирования (рис. 20.8):

• выбрать задачи, выполнение которых будет разрешено пользователям. Данный режим является наиболее предпочтительным для большинства случаев. Этому режиму соответствует переключатель Delegate the following common tasks (Делегировать следующие общие задачи);
• выбрать вручную объекты каталога, управление которыми будет разрешено пользователям. Этот режим рассчитан на опытных администраторов и ему соответствует переключатель Create a custom task to delegate (Создать задачу для делегирования вручную).

Рис. 20.8. Выбор режима делегирования

Выбрав первый режим делегирования, администратор должен установить флажки напротив задач, которые должны быть делегированы. Если же был выбран расширенный режим делегирования, администратор должен определить классы объектов, управление которыми будет делегировано пользователям в рамках рассматриваемого контейнера (рис. 20.9). Если администратор хочет предоставить пользователям возможность создания или удаления экземпляров выбранных классов объектов, он должен установить флажки Create selected objects in this folder (Создание выбранных объектов в данном контейнере) или Delete selected objects in this folder (Удаление выбранных объектов в данном контейнере).

Рис. 20.9. Выбор классов объектов, управление которыми делегируется

Процесс делегирования только предоставляет пользователям необходимые полномочия для управления объектами. Чтобы предоставить пользователям действительную возможность применить эти полномочия, администратор должен создать для них необходимые инструменты. Используя механизм создания заказных управляющих консолей (ММС), описанный в главе 6 "Средства управления системой", администратор может создавать любой необходимый инструментарий, который и будет применяться пользователями для осуществления операций управления.
Помимо задачи делегирования полномочий, существует также задача отзыва уже предоставленных полномочий. Отзыв полномочий фактически означает отзыв у пользователей определенных разрешений на доступ к контейнерам, на уровне которых осуществлялось делегирование. Для отзыва указанных разрешений необходимо в окне свойств соответствующего контейнера перейти на вкладку Security (Безопасность). Для пользователей, которым были делегированы полномочия, необходимо снять флажки Allow (Разрешено) напротив соответствующих полномочий. Таким образом, администратор редактирует элементы списка управления доступом (ACL) выбранного контейнера. Флажки устанавливаются напротив соответствующих разрешений в ходе работы мастера делегирования. Понимая этот механизм, администратор может легко и гибко управлять объектами каталога и, как следствие, точнее настраивать Active Directory под стоящие перед ним задачи.
Кроме того, администратор всегда может восстановить для контейнера установки по умолчанию. Для этого необходимо в окне Advanced Security Settings (Дополнительные параметры безопасности) щелкнуть по кнопке Default (По умолчанию) (рис. 20.10). Однако следует помнить о том, что в результате будут отозваны все полномочия, предоставленные кому-либо на уровне данного контейнера. Кроме того, будут восстановлены полномочия, наследуемые контейнером от родительских объектов.

Рис. 20.10. Для отзыва всех делегированных полномочий необходимо нажать кнопку Default

Однако существует другой более гибкий способ управления предоставлением полномочий. Мастер позволяет делегировать полномочия как отдельным пользователям, так и группам. Наиболее удобным и оптимальным вариантом делегирования является применение групп безопасности. Это дает возможность управлять процессом делегирования управления через членство пользователей в выбранной группе. В этом случае для отзыва полномочий достаточно отозвать членство пользователя в группе.

Управление ролями FSMO

Выполнение ряда операций в доменах на базе Active Directory требует уникальности их исполнителя. Контроллеры домена, на которых возложена обязанность выполнения указанных операций, называют исполнителями специализированных ролей - Flexible Single-Master Operations (FSMO). В данном разделе разговор пойдет о процессе управления ролями FSMO, a также о методике получения информации об их владельцах (хозяевах).

Определение владельцев ролей FSMO

Получить информацию о владельцах специализированных ролей (также называемых мастерами операций) можно при помощи стандартных административных оснасток.

• Оснастка Active Directory Users and Computers отображает информацию о владельцах ролей, к которым предъявляются требования уникальности в пределах домена (владелец инфраструктуры каталога, идентификаторов и эмулятора PDC). Для получения информации о текущем владельце той или иной роли необходимо выбрать в контекстном меню объекта, ассоциированного с интересующим доменом, команду Operations Master (Владелец операций). В соответствующем окне на трех вкладках будет выведена информация о существующих владельцах. Текущий владелец роли отображается в поле Operations master .
• Оснастка Active Directory Domains and Trusts может быть использована для получения информации о владельце доменных имен (Domain Naming master). Для получения информации о текущем владельце необходимо выбрать в контекстном меню объекта, расположенного в корне пространства имен оснастки, команду Operations Master (Владелец операций). Текущий владелец роли доменных имен отображается в поле Domain naming operations master .
• Оснастка Active Directory Schema позволяет получить информацию о владельце схемы. Эта оснастка должна быть загружена администратором в консоль ММС вручную. Для получения информации о текущем владельце схемы необходимо выбрать в контекстном меню объекта, ассоциированного с загруженной оснасткой, команду Operations Master (Владелец операций). Текущий владелец роли отображается в открывшемся окне в поле Current schema master .

Перечисленные оснастки являются основными инструментами для работы с владельцами специализированных ролей. Кроме того, имеется ряд утилит и сценариев, которые могут быть также использованы администратором для получения информации о владельцах ролей.

Передача и захват ролей FSMO

Если в рамках леса доменов имеется несколько контроллеров домена, обязанности исполнения специализированной роли могут быть перенесены с одного контроллера домена на другой. Процедура передачи роли требует, чтобы в оперативном режиме находились контроллеры домена, выступающие в качестве текущего и будущего исполнителя. В этом случае передача роли может быть осуществлена при помощи стандартных оснасток (таких, например, как Active Directory Users and Computers ).
В случае, если необходимо передать роль другому контроллеру домена при недоступном текущем исполнителе, следует прибегнуть к захвату роли. Захват роли осуществляется при помощи утилиты NtdsUtil.exe.

Передача роли владельца операций RID, PDC и Infrastructure

Процедура передачи ролей, требующих уникальности исполнителя в пределах домена, происходит следующим образом. Подключите оснастку Active Directory Users and Computers к контроллеру домена, который выбран в качестве нового исполнителя роли. В контекстном меню корневого объекта пространства имен утилиты выберите команду Operations Masters (Владелец операций). В открывшемся окне необходимо перейти на требуемую вкладку: RID, PDC или Infrastructure . Чтобы изменить исполнителя роли, щелкните по кнопке Change (Изменить).
Если в домене установлено несколько контроллеров домена, необходимо следить за тем, чтобы роль владельца инфраструктуры не возлагалась на контроллер домена, являющийся сервером глобального каталога. В противном случае в журнале Directory Service на контроллере домена, выбранном в качестве нового владельца роли, появится предупреждение.

Передача роли владельца доменных имен

Передача роли владельца доменных имен осуществляется при помощи оснастки Active Directory Domains and Trusts . Подключите оснастку к контроллеру домена, который выбран в качестве нового исполнителя роли. В контекстном меню корневого объекта пространства имен утилиты выберите команду Operations Masters (Владелец операций). Чтобы изменить исполнителя роли в открывшемся окне, щелкните по кнопке Change (Изменить). Помните о том, что только один контроллер в лесу доменов может исполнять роль владельца доменных имен. При этом данный контроллер домена должен также выполнять функции сервера глобального каталога.

Передача роли владельца схемы

Передача роли владельца схемы осуществляется при помощи оснастки Active Directory Schema . Подключите оснастку к контроллеру домена, который выбран в качестве нового исполнителя роли. В контекстном меню корневого объекта пространства имен утилиты выберите команду Operations Masters (Владелец операций). Чтобы изменить владельца роли в открывшемся окне, щелкните по кнопке Change (Изменить). Помните о том, что только один контроллер в лесу доменов может быть владельцем схемы.
Владелец схемы каталога определяет контроллер домена, который отвечает за осуществление операции расширения схемы. По умолчанию право работать со схемой имеют только члены группы Schema Admins (Администраторы схемы).

Захват ролей

К операции захвата роли (seize role) прибегают в том случае, когда текущий исполнитель роли становится по той или иной причине недоступным, в результате чего выполнение специализированных операций станет невозможным. Операция захвата роли выполняется при помощи утилиты командной строки NtdsUtil.exe.
Ниже приводится пример использования утилиты NtdsUtil для захвата всех специализированных ролей контроллером домена store.khsu.ru (полужирным выделены команды, вводимые администратором):

fsmo maintenance: connection

server connections: connect to server store.khsu.ru

Binding to store.khsu.ru...

Connected to store.khsu.ru using credentials of locally logged on user

server connection: quit

fsmo maintenance seize schema master

fsmo maintenance seize domain naming master

fsmo maintenance seize PDC

fsmo maintenance seize RID master

fsmo maintenance seize infrastructure master

fsmo maintenance quit

Disconnecting from store.khsu.ru...

Внимание

Применительно к ролям владельца схемы, владельца доменных имен и владельца идентификаторов запрещается возвращение в сеть прежнего исполнителя роли после выполнения ее захвата. Об этом необходимо помнить, выполняя захват указанных ролей.

Управление процессом репликации

Подсистема репликации службы каталога предполагает регулярную синхронизацию копий каталога. Тем не менее, администратор может инициировать принудительную репликацию изменений каталога. Для выполнения этой операции в распоряжении администратора имеются три инструмента:

• оснастка Active Directory Sites and Services ;
• утилита командной строки Replication Diagnostics Tool (RepAdmin.exe);
• утилита Active Directory Replication Monitor (ReplMon.exe).

В зависимости от выбранного инструмента можно инициировать процесс репликации изменений как для отдельного раздела каталога, так и для всех разделов сразу. Перечисленные утилиты позволяют администратору инициировать процесс репликации в двух режимах:

• между некоторой парой контроллеров домена;
• между контроллером и всеми его партнерами по репликации.

В контексте разговора об управлении процессом репликации изменений необходимо уточнить терминологию. Изменения содержимого каталога всегда реплицируются с сервера-источника (source DC) на целевой сервер (target DC). Поэтому для инициации процесса репликации сначала необходимо выбрать целевой сервер, а затем - сервер-источник.

Оснастка Active Directory Sites and Services

Стандартным инструментом управления процессом репликации изменений каталога является оснастка Active Directory Sites and Services . При помощи этой оснастки администратор может инициировать процесс репликации изменений для всех разделов каталога от отдельного партнера по репликации. Следует обратить особое внимание на то, что реплицируются все разделы каталога. Нельзя инициировать процедуру репликации только для одного раздела каталога.
Для инициации процесса репликации изменений выберите целевой контроллер в контейнере Servers (Серверы) соответствующего сайта и откройте объект NTDS Settings (Параметры NT Directory Service). Можно запросить репликацию у любого контроллера домена, соединение с которым присутствует в правом окне в виде объекта класса Connection. Для этого вызовите контекстное меню нужного соединения и выберите команду Replicate Now (Реплицировать немедленно). В зависимости от пропускной способности коммуникационных линий, соединяющих контроллеры домена, и объема имеющихся изменений может потребоваться некоторое время для выполнения процедуры репликации. В случае успешной репликации всех изменений будет выведено сообщение "Active Directory has replicated the connections" (Active Directory произвела репликацию подключений).
Несмотря на удобный графический интерфейс, оснастка Active Directory Sites and Services предлагает достаточно ограниченные возможности управления процессом репликации. Как уже упоминалось ранее, администратор не может запросить репликацию изменений для отдельного раздела каталога. Кроме того, администратор не может запросить репликацию изменений от всех источников-партнеров по репликации как одну операцию.

Replication Diagnostics Tool (RepAdmin.exe)

При помощи утилиты командной строки Replication Diagnostics Tool (RepAdmin.exe) администратор может осуществлять репликацию изменений на уровне отдельных разделов каталога. При этом администратор может включать в процесс репликации как один сервер-источник, так и все источники. Применительно к процессу управления репликацией, утилита может быть запущена в одном из двух режимов:

• запрос репликации изменений определенного раздела каталога со всех серверов-источников, выступающих в качестве партнеров по репликации;
• запрос репликации изменений определенного раздела каталога с одного сервера-источника.

В первом случае необходимо использовать следующий формат утилиты: repadmin /syncall <целевой_сервер> [<раздел_каталога>] [<флаги>]
В этом случае выполняется репликация только одного раздела, однако от всех источников-партнеров по репликации. Флаги позволяют задать параметры репликации. Например, чтобы инициировать репликацию изменений доменного раздела khsu.ru на контроллер домена store со всех источников-партнеров, необходимо воспользоваться следующей командой: repadmin /syncall store.khsu.ru DC=khsv., D C=ru
Следует помнить о том, что команда repadm in /syncall позволяет выполнить репликацию только одного раздела каталога. Однако достаточно часто возникает необходимость синхронизировать все разделы каталога. Для этого используется специальный флаг /А. Ниже приводится пример синхронизации всех разделов каталога для контроллера домена store. repadmin /syncall store.khsu.ru /А
Чтобы выполнить репликацию изменений в рамках всего леса доменов, администратор может создать пакетный файл, содержащий аналогичные команды для каждого контроллера домена и для всех разделов каталога. Впоследствии при необходимости администратор может использовать созданный пакетный файл для выполнения полной репликации в домене или лесе.
Для выполнения репликации некоторого раздела каталога от одного конкретного партнера используется другой формат утилиты: repadmin /sync <раздел_каталога> <целевой_сервер> <сервер_источник> [<флаги>]
Сервер-источник задается посредством глобально уникального идентификатора (GUID). Например, для репликации изменений доменного раздела khsu.ru на контроллер домена store с контроллера домена root (имеющего GUID 337e47bb-3902-4a8f-9666-fe736ddc0 b7c) необходимо воспользоваться следующей командой: repadmin /sync DC=khsu,DC=ru store.khsu.ru 337e47bb-3902-4a8f-9666-f e736ddc0 b7c

Active Directory Replication Monitor (ReplMon.exe)

Имеющая графический интерфейс утилита Active Directory Replication Monitor (ReplMon.exe) может быть использована для выполнения следующих операций, связанных с репликацией:

• синхронизация всех разделов каталога некоторого контроллера домена со всеми партнерами по репликации (для этой операции имеются три дополнительных режима);
• синхронизация указанного раздела каталога некоторого контроллера домена со всеми партнерами по репликации;
• синхронизация указанного раздела каталога некоторого контроллера домена с определенным партнером по репликации.

Одним из достоинств утилиты Active Directory Replication Monitor является возможность подробного протоколирования операции репликации.

Аудит событий доступа к объектам Active Directory

Оценка эффективности существующей политики безопасности системы должна базироваться на некотором аналитическом материале. В состав операционной системы Windows Server 2003 включены действенные механизмы протоколирования событий, связанных с попытками (как удачными, так и неудачными) получения доступа к ресурсам сети. Согласно терминологии Microsoft, процесс протоколирования действий пользователей получил название аудита (audit). Сведения обо всех событиях, связанных с попыткой получения доступа к ресурсам, для которых активизирован режим аудита, фиксируются системой в специальном журнале безопасности (Security log).
Для объектов каталога реализация аудита осуществляется в два этапа:
1. Активизация режима аудита. При этом администратор должен указать категории событий, которые подлежат аудиту.
2. Определение объектов каталога, для которых будет осуществляться аудит событий.
Подсистема безопасности Windows Server 2003 оперирует девятью категориями событий, подлежащих аудиту. Применительно к аудиту событий, связанных с функционированием службы каталога, интерес представляют три категории событий:

• Audit object access (Аудит событий, связанных с доступом к объектам);
• Audit directory service access (Аудит событий, связанных с доступом к службе каталога);
• Audit account management (Аудит событий, связанных с управлением учетными записями).

Аудит доступа к службе каталога выполняется по отношению к операциям, выполняемым на контроллерах домена. Для активизации аудита можно использовать оснастку Domain Controllers Security Policy . Эта оснастка работает с объектом групповой политики Default Domain Controllers Policy , привязанного к подразделению Domain Controller. Откройте узел Computer Configuration | Windows Settings | Security Settings | Local Policies | Audit Policy (Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Локальные политики | Политика аудита) содержащий категории аудита.
По умолчанию для политик аудита задано одно значение - No auditing (Нет аудита). В окне оснастки выберите категорию событий, откройте его окно свойств, установите флажок Define these policy settings (Определить следующие параметры политики) и определите, какие именно попытки - успешные (Success) или неуспешные (Failure) - должны регистрироваться в системном журнале безопасности. Если флажок Define these policy settings (Определить следующие параметры политики) снят, считается, что для данной категории событий аудит не определен (Not Defined ).
Следует заметить, что установки No auditing (Нет аудита) и Not defined (He определено) имеют разное значение. Если политика не определена, вы можете установить ее на другом уровне. Значение No auditing переопределяет все установки, которые могли быть заданы ранее. Групповые политики для контейнера Domain Controllers применяются последними и, следовательно, имеют самый высокий приоритет. Поэтому установки аудита, определяемые этими политиками по умолчанию, переопределяют любые параметры, заданные на предыдущих уровнях.
На следующем этапе администратор определяет объекты каталога, для которых будет осуществляться аудит событий. Для каждого объекта каталога аудит событий может производиться на двух уровнях:

• на первом уровне отслеживаются все события, связанные с доступом непосредственно к самому объекту (создание, удаление, чтение объекта и т. п.);
• на втором уровне система регистрирует в системном журнале все события, связанные с доступом к индивидуальным атрибутам объекта (чтение или изменение атрибута объекта).

Режим аудита позволяет отслеживать действия над объектами каталога и их атрибутами на любом уровне иерархии. При этом допускается наследование дочерними объектами параметров аудита от родительских объектов.
Для операций чтения рекомендуется задавать аудит неудачных обращений (отказов), поскольку при регистрации большого количества успешных обращений журнал безопасности (Security Log) будет быстро переполняться. Как следствие, снижается производительность контроллеров домена. Для операций записи, создания/удаления и других критичных операций (которые выполняются гораздо реже, чем чтение) можно устанавливать аудит всех событий, т. е. как успешных, так и неудачных обращений.
По умолчанию для группы Everyone (Все) выполняется аудит специальных обращений (успешных и неудачных) ко всем объектам в домене. Все объекты домена наследуют эти установки от корневого доменного контейнера. У некоторых контейнеров имеются дополнительные параметры аудита. Эти установки разрешают аудит критических операций, таких как запись, удаление, изменение и т. д. Все установки аудита можно просматривать в окне свойств объекта: откройте вкладку Security (Безопасность), нажмите кнопку Advanced (Дополнительно) и перейдите на вкладку Auditing (Аудит).
Нажмите кнопку Edit (Редактирование), и в открывшемся окне вы можете просматривать и изменять параметры. Если вы откроете вкладку Auditing для некоторого дочернего объекта каталога, то заметите, что все установленные флажки затенены. Их нельзя изменить непосредственно, для этого нужно открыть родительский или корневой объект. Если установить еще не отмеченный флажок, система создаст новый набор параметров аудита и добавит его в список.
Поскольку по умолчанию многие успешные обращения регистрируются, после включения аудита может возникнуть громадное количество записей в системных журналах. Поэтому при выполнении аудита в течение достаточно длительного времени следует изменить параметры, заданные по умолчанию.
Содержимое журнала безопасности может быть просмотрено при помощи оснастки Event Viewer . Для каждого события утилита отображает следующую информация:

• успешность попытки (была ли попытка доступа успешной или нет);
• дата и время попытки;
• имя учетной записи компьютера, с которого была произведена попытка;
• имя учетной записи пользователя, совершившего попытку.

Резервирование и восстановление Active Directory

Для выполнения операций резервного копирования в составе операционной системы Windows Server 2003 Server поставляется утилита Backup. С ее помощью можно резервировать и восстанавливать многие системные данные, в том числе файлы базы данных Active Directory. Использование этой утилиты подробно рассматривается в главе 23 "Восстановление системы", здесь мы коснемся лишь специфики работы с Active Directory.
Важно понимать, что резервная копия состояния системы (System State) содержит параметры, характеризующие конкретный контроллер домена. Как следствие, вы не можете использовать резервную копию состояния системы одного контроллера домена для восстановления другого контроллера домена. В этом случае вы получите два абсолютно идентичных контроллера домена, что приведет к возникновению конфликтов (начиная с идентичных настроек стека протоколов TCP/IP и заканчивая GUID DSA).

Внимание

Расширение схемы является необратимой операцией, и вы не можете восстановить резервную копию, содержащую старую версию схемы. Созданные атрибуты и классы невозможно удалить, их можно только отключить (deactivate).

Создание резервной копии Active Directory

Подсистема резервного копирования Windows Server 2003 позволяет создавать резервные копии различных типов (нормальную, дублирующую, добавочную, разностную и ежедневную). Однако применительно к резервной копии, отражающей состояние системы, речь может идти только о нормальном резервном копировании (normal backup).
Для создания резервной копии состояния системы запустите утилиту Backup, выполнив команду Start | Programs | Accessories | System Tools | Backup .
Утилита Backup предлагает администратору два способа создания резервной копии.

• Использование мастера Backup Wizard. Этот способ является наиболее удобным, поскольку упрощает процедуру резервного копирования.

Создание резервной копии вручную. Этот способ дает администратору больший контроль над операцией резервного копирования. При этом, однако, от администратора требуется четкое понимание всех механизмов резервного копирования.
Рассмотрим процесс создания резервной копии вручную. Процесс сохранения данных Active Directory сводится к резервированию состояния системы на контроллере домена. Перейдите на вкладку Backup и установите флажок System State в окне структуры. При необходимости можно также включить в создаваемую резервную копию ряд дополнительных файлов. В списке Backup Destination выберите тип носителя архива. Если выбран режим создания резервной копии на жестком диске, в поле Backup media or file name необходимо будет указать имя файла. Затем нажмите кнопку Start Backup , и процесс архивации начнется. Напомним, что полученный архив можно использовать для установки контроллера домена из резервной копии (см. главу 19 "Проектирование доменов и развертывание Active Directory").

Восстановление Active Directory

В случае выхода из строя контроллера домена, у администратора имеется две возможности восстановления его работоспособности:

• установить на компьютере операционную систему заново и повысить его до контроллера домена. При этом база данных каталога Active Directory будет автоматически восстановлена в процессе стандартной процедуры репликации. В результате получится совершенно новый контроллер, а все ссылки на старый контроллер домена в Active Directory нужно будет удалить вручную. Этот способ требует минимум усилий со стороны администратора и, что является самым главным, не требует наличия резервной копии каталога. Этот способ восстановления используют в том случае, когда требуется полная переустановка операционной системы. Если же выход из строя контроллера домена связан с повреждением системных файлов службы каталога, проще восстановить базу данных каталога, используя резервную копию. Этот способ неприемлем в том случае, если восстанавливаемый контроллер домена является единственным в домене;
• использовать резервную копию для восстановления состояния системы. Этот способ позволяет сохранить индивидуальные характеристики контроллера домена и не требует обязательной переустановки операционной системы.

В данном разделе речь пойдет о восстановлении из резервной копии. При этом у администратора имеется три различных сценария восстановления состояния системы:

• выполнить основное восстановление (primary restore), если имеется только один контроллер домена и требуется восстановить содержимое каталога. При основном восстановлении создается новая -база данных службы репликации файлов (FRS); поэтому восстановленные данные будут затем реплицироваться на другие контроллеры домена;
• если в домене остался хотя бы один контроллер домена, можно выполнить неавторитетное восстановление (non-authoritative restore). При этом база данных каталога будет приведена в состояние, в котором каталог находился на момент создания резервной копии. Восстановленный контроллер получит актуальные данные об изменениях, произошедших в каталоге с момента создания данной резервной копии, в процессе репликации Active Directory с других контроллеров домена. К неавторитетному восстановлению целостности каталога прибегают в случае возникновения неисправностей, вызванных нарушениями в работе компьютера. Этот тип восстановления используется чаще всего;
• если требуется восстановить данные, удаленные из Active Directory, необходимо использовать авторитетное восстановление (authoritative restore). Авторитетное восстановление службы каталога применяется для приведения каталога в некоторое состояние, непосредственно предшествующее сбою системы. Однако авторитетное восстановление может быть выполнено только после того, как будет выполнено неавторитетное восстановление каталога. Авторитетное восстановление возможно для любого раздела каталога, за исключением раздела схемы.

Не забывайте о том, что при любом сценарии восстановить Active Directory можно только тогда, когда сервер загружен в режиме восстановления каталога.

При устранении последствий выхода контроллера домена из строя может потребоваться изменение конфигурации сервера. Возможна ситуация, когда вышедший из строя контроллер домена должен быть заменен другим. При этом администратор должен установить необходимые драйверы еще до выполнения операции восстановления. Если изменения в конфигурации контроллера домена затрагивают дисковую подсистему, необходимо позаботиться о выполнении следующих требований:

• жесткий диск не должен быть меньшего объема, чем вышедший из строя;
• на диске должна быть воспроизведена структура дисковых разделов, аналогичная той, что существовала на вышедшем из строя контроллере домена.

Процесс восстановления состояния системы (а точнее восстановления каталога) зависит от времени жизни объектов, помеченных для удаления (tombstone lifetime). По окончании процедуры неавторитетного восстановления каталога на контроллер домена будут реплицированы сведения обо всех изменениях, произошедших с момента выполнения использованной резервной копии. Это касается также и сведений об изменениях, вызванных операцией удаления объектов.
Объекты, выбранные пользователем для удаления, не удаляются из каталога сразу. Они помечаются службой каталога для удаления, и информация об этом реплицируется на все остальные контроллеры домена. Только через некоторый промежуток времени, называемый временем жизни объекта, помеченного для удаления, объект будет реально удален из каталога. По умолчанию время жизни объектов, помеченных для удаления, составляет 60 дней (минимальное значение - 2 дня). Эта величина хранится в атрибуте tombstoneLifetime объекта c именем CN=Directory Service, CN=Windows NT, CN=Service, CN=Configuration, DC=. Для восстановления каталога запрещается использовать резервные копии старше, чем значение времени жизни объектов, помеченных для удаления.
Восстановление резервной копии, так же как и операция ее создания, может быть выполнено двумя способами: посредством мастера Restore Wizard и вручную. Рассмотрим процесс ручного восстановления.
Запустите утилиту Backup и перейдите на вкладку Restore . Выберите из списка необходимую резервную копию и установите в ней флажок System State . Выберите из списка Restore files to (Восстанавливать файлы в) значение Original location (Исходное расположение). Нажмите кнопку Start Restore и выберите опцию Advanced в окне Confirm Restore (Подтверждение восстановления). Для выполнения основного восстановления необходимо установить флажки, как показано на рис. 20.11. Если выполняется неавторитетное восстановление, необходимо снять флажок When restoring replicated data sets, mark the restored data as the primary data for all replicas . Закройте окно и начните процесс восстановления.
По окончании процесса восстановления необходимо перезагрузить компьютер.

Примечание

По окончании процедуры восстановления для системного агента каталога (DSA) контроллера домена генерируется новый глобальный идентификатор (GUID). При этом служба каталога начинает нумерацию порядковых номеров обновления (USN)сначала.

После того как резервная копия состояния системы загружена, необходимо выполнить перезагрузку системы. Однако до того как будет выполнена перезагрузка, администратор может проверить успешность выполнения операции восстановления каталога. Показателем успешности служит наличие в реестре параметра RestoreinProgress в ключе реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlset\Services\NTDS. Этот параметр используется системой для обнаружения факта восстановления каталога и используется для инициации процесса обновления соответствующих системных файлов.

Рис. 20.11. Выполнение основного восстановления

Процедура авторитетного восстановления каталога предполагает откат на всех контроллерах домена изменений, касающихся определенных объектов или даже фрагментов каталога. Авторитетное восстановление может быть выполнено для объектов, расположенных в доменном разделе каталога, а также в разделе каталога, содержащем данные конфигурации. Поскольку операция расширения схемы каталога является необратимой, авторитетное восстановление схемы невозможно.
Суть авторизованного восстановления заключается в установке для некоторого подмножества объектов каталога значения Originating USN в метаданных репликации равным текущему значению USN контроллера домена. Как следствие, информация об этих объектах будет реплицирована на остальные контроллеры домена.
Авторитетное восстановление всегда производится после неавторизованного восстановления каталога. Для выполнения этой операции используется утилита командной строки NtdsUtil.exe. Рассмотрим процедуру выполнения авторизованного восстановления более подробно.
На предварительном этапе контроллер домена должен быть загружен в режиме восстановления службы каталога. Используя имеющуюся резервную копию, администратор должен произвести неавторитетное восстановление службы кататога. При этом на вкладке Restore утилиты Backup из раскрывающегося списка Restore flies to (Восстанавливать файлы в) надо выбрать значение Alternate location (Альтернативное расположение). Необходимо будет указать папку на локальном диске, в которую будет произведено восстановление содержимого резервной копии. В выбранном месте после восстановления появятся следующие папки:

• Active Directory. Файлы, используемые механизмом ESE для организации хранилища каталога (файлы ntds.dit, edb.log и т. п.);
• СОМ+ Class Registration Database. Файлы, определяющие содержимое базы данных регистрации классов СОМ+ (файл ComReg.Db.bak);
• Boot Files. Эта папка содержит загрузочные файлы (файлы ntdetect.com, ntldr);
• Registry. В этой папке находятся файлы, содержимое которых определяет значение основных ключей системного реестра (файлы default, SAM, SECURITY, software, system, userdiff);
• Sys Vol. Эта папка определяет содержимое системного тома SYSVOL.

По окончании процедуры неавторизованного восстановления система предложит выполнить перезагрузку. Для выполнения авторизованного восстановления необходимо отказаться от перезагрузки, поскольку при этом произойдет обновление всех системных файлов. Запустите редактор реестра и убедитесь в существовании параметра RestoreinProgress в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\NTDS.
Вместо перезагрузки необходимо перейти в режим командной строки и запустить утилиту NtdsUtil. Ниже приведен пример диалога для операции authoritative restore (команды администратора выделены полужирным):

C:\>ntdsutil ntdsutil: authoritative restore authoritative restore: restore subtree OU=ND,DC=khsu,DC=ru Opening DIT database... Done. The current time is 09-20-02 21:45.14. Most recent database update occurred at 09-19-02 11:03.01. Increasing attribute version numbers by 300000. Counting records that need updating... Records found: 0000000004 Done. Found 4 records to update. Updating records... Records remaining: 0000000000 Done. Successfully updated 4 records.

Authoritative Restore completed successfully,

authoritative restore: quit

После этого необходимо выполнить перезагрузку компьютера. Обратите внимание на то, что номера версий объектов увеличиваются на 100 000 для каждого дня, прошедшего с момента создания резервной копии. Для просмотра изменений метаданных можно применять утилиту RepAdmin.exe. Например, для восстановленного подразделения можно воспользоваться следующей командой: c:\repadmin /showmeta OU=ND, DC=khsu, DC=ru store.khsu.ru
Выполняя эту команду на различных контроллерах домена, можно проверить успешность выполнения авторизованного восстановления и проследить за распространением изменений в процессе репликации.
Если в вашей конфигурации объекты Active Directory меняются редко, можно изменить стандартное значение, на которое увеличивается номер версии. При этом в процессе работы утилиты NtdsUtil используется команда, подобная следующей: restore subtree OU=ND, DC=khsu, DC=ru verinc 1000
При выполнении авторизованного восстановления администратор должен учитывать срок действия паролей, соответствующих учетным записям (пользователей и компьютеров) и используемых для установления доверительных отношений между доменами. Служба каталога рассматривает смену пароля как изменение состояния объекта. Политика учетных записей задает срок жизни пароля и накладывает определенные ограничения на выполнение авторизованного восстановления объектов, ассоциированных с учетными записями. Возможна ситуация, когда откат изменений восстановит старые значения паролей учетных записей, что приведет к нарушению нормальной работы сети. По умолчанию пароли, ассоциированные с учетными записями компьютеров, а также используемые для установления доверительных отношений между доменами, меняются каждые семь дней. Кроме того, в каталоге хранятся также и предыдущие значения паролей. Таким образом, если применяются установки по умолчанию, не следует использовать для авторизованного восстановления объектов каталога, ассоциированных с учетными записями, резервные копии старше 14 дней.

Восстановление содержимого системного тома SYSVOL

В ряде ситуаций может потребоваться восстановить содержимое системного тома SYSVOL. В качестве примера можно привести ситуацию, когда удаляется группа объектов групповой политики. Информация о групповой политике хранится как в виде объектов каталога, так и в виде файлов в составе системного тома SYSVOL. Поэтому восстановление только объектов каталога не приведет к полному восстановлению объектов групповой политики. Необходимо также восстановить содержимое системного тома SYSVOL.
По окончании процедуры авторитетного восстановления следует перезагрузить контроллер домена в нормальном режиме и дождаться момента публикации тома SYSVOL. Обнаружить момент публикации можно при помощи команды net share.
Скопируйте содержимое тома SYSVOL из альтернативной папки в его рабочую папку (по умолчанию %SystemRoot%\SYSVOL\sysvo\). Изменение состояния тома SYSVOL вызовет репликацию тома на остальные контроллеры домена.