Работа с Active Directory
Цель работы: научиться устанавливать и просматривать Active Directory, научится подключать компьютеры к домену.
Образовательные результаты, заявленные во ФГОС третьего поколения:
Студент должен
уметь:
- применять стандартные методы для защиты объектов.
знать:
- основные приемы работы в компьютерных сетях;
- технологии передачи и обмена данными в сетях;
- информационные ресурсы компьютерных сетей.
Краткие теоретические и учебно-методические материалы по теме практической работы:
Active Directory является LDAP (Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам»)-совместимой реализацией службы каталогов (это средство иерархического представления ресурсов, принадлежащих некоторой отдельно взятой организации, и информации об этих ресурсах) корпорации Мicrosoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать глобальные политики, развёртывать программы на множестве компьютеров (через глобальные политики или посредством Microsoft Systems Management Server 2003) и устанавливать важные обновления на всех компьютерах в сети (с использованием Windows Server Update Services (WSUS); Software Update Services (SUS) ранее). Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.
Помимо обычных для служб каталогов задач, Active Directory способна удовлетворить широкий спектр потребностей по обработке имен, обслуживанию запросов, регистрации, администрированию и устранению конфликтов. В Active Directory используется тесно увязанный набор API и протоколов, так что она может работать с несколькими пространствами имен, собирать и предоставлять информацию о каталогах и ресурсах, находящихся в удаленных филиалах и под управлением разных ОС. Active Directory имеет следующие возможности и характеристики:
· Поддержка открытых стандартов для облегчения межплатформных операций с каталогами, в т. ч. доменной системы имен DNS и стандартных протоколов, таких как LDAP (Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам»).
· Поддержка стандартных форматов имен для простоты миграции и эксплуатации.
· Богатый набор API, которые могут использоваться как для командных сценариев, так и в программах на C/C++.
· Простой и интуитивно понятный процесс администрирования благодаря несложной иерархической доменной структуре и использованию технологии «перетащить и оставить».
· Возможность расширения набора объектов в каталогах, за счет гибкой логической схемы.
· Быстрый поиск по глобальному каталогу.
· Быстрое и удобное обновление информации посредством многоуровневой (multimaster) репликации данных.
· Совместимость с предыдущими версиями ОС Windows NT.
· Взаимодействие с сетями NetWare.
Active Directory позволяет управлять с одного рабочего места всеми заявленными ресурсами (файлами, периферийными устройствами, базами данных, подключениями к серверам, доступом к Web, пользователями, другими объектами, сервисами и т. д.). В качестве идентификационной службы в ней используется доменная система имен (DNS), применяемая в Интернете, объекты в доменах строятся в иерархию организационных единиц (ОЕ), а домены могут быть объединены в древовидную структуру. Администрирование становится еще проще, так как в Active Directory отсутствует понятие главного контроллера доменов (ГКД) и резервного контроллера доменов (РКД). В Active Directory существуют только контроллеры домена (КД), и все они равны между собой. Администратор может сделать изменения на любом КД, и эти изменения будут скопированы на всех остальных КД.
Active Directory отделяет логическую структуру иерархии доменов Windows 2003 от физической структуры сети. Объекты: ресурсы хранятся в виде объектов. Схема Active Directory:
· Домены: базовая организационная структура.
· Деревья: несколько доменов объединяются в иерархическую структуру.
· Леса: группа из нескольких деревьев домена.
Организационные единицы: позволяют делить домен на зоны и делегировать на них права.
Логическая структура Active Directory не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Это позволяет структурировать домены, отталкиваясь не от требований физической сети, а от административных и организационных требований.
Объекты хранятся в Active Directory в виде иерархической структуры контейнеров и подконтейнеров, упрощающей поиск, доступ и управление, она во многом похожа на файловую систему Windows с файлами в папками.
Классы объектов. Объект на самом деле представляет собой просто набор атрибутов. Например, объект пользователя (user object) состоит из таких атрибутов, как имя, пароль, телефонный номер, сведения о членстве в группах и т. д. Атрибуты, образующие объект, определяются классом объекта.
Классы и атрибуты, определяемые ими, собирательно называются Active Directory Schema — в терминологии баз данных схема (schema) — это структура таблиц и полей, а также их взаимосвязи. Active Directory Schema можно считать набором данных (классов объектов), определяющим то, как организована и хранится реальная информация (атрибуты объекта) в каталоге.
Active Directory — не первая служба каталогов. В современных сетях используется несколько служб каталогов и стандартов. Вот лишь некоторые из них:
· Х.500 и Directory Access Protocol (DAP). X.500 — спецификация Internet Standards Organization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов;
· Lightweight Directory Access Protocol (LDAP). LDAP была разработана в ответ на критические замечания по DAP, которая оказалась слишком сложной для применения в большинстве случаев. LDAP быстро стала стандартным протоколом каталогов в Интернете.
· Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, совместимая со стандартом Х.500.
· Active Directory. Составная часть сетей под управлением Windows Server 2000 или Windows Server 2003. Соответствует стандарту LDAP.
Задания для практического занятия:
Задание 1. Установите Active Directory.
1. Подготовьте виртуальную машину VM-2 к установке службы каталогов:
o подключите к ВМ образ установочного диска win2003-1.iso;
2. Откройте диалоговое окно Управление данным сервером (Пуск/Администрирование/Управление Данным Сервером).
3. Проверьте наличие установленного сервера доменных имен (DNS).
Установка службы каталогов невозможна без DNS.
4. Активизируйте добавление новых ролей для сервера (Добавить или удалить роль).
5. Выберите пункт Контроллер домена (Active Directory). Перейдите к следующему шагу кнопкой Далее.
6. Ознакомьтесь с информацией об устанавливаемых компонентах и щелкните Далее.
7. Ознакомьтесь с информацией Mастера установки Active Directory и щелкните Далее.
8. Ознакомьтесь с информаций о совместимости с операционной системой и щелкните Далее.
9. Укажите вариант созданий контроллера домена - Контроллер домена в новом домене и щелкните Далее.
10. Укажите тип создаваемого домена - Новый домен в новом лесу и щелкните Далее.
11. Введите полное DNS-имя создаваемого домена - example.edu.ru и щелкните Далее.
12. Введите NetBIOS-имя домена - EXAMPLE и щелкните Далее.
Обычно оно уже указанно по умолчанию, исходя из того, какое DNS -имя было дано создаваемому домену. Например, при создании домена с именем example.edu.ru, по умолчанию NETBIOS-имя будет EXAMPLE.
13. Укажите место хранения баз данных и журналов Active Directory:
o введите в поле Папка расположения Баз - C:\WINDOWS\NTDS\BASE;
o введите в поле Папка расположения журнала - C:\WINDOWS\JOURNAL;
o подтвердите изменения кнопкой Далее.
14. Ознакомьтесь с информацией об общей папке и щелкните Далее.
Если ваш DNS -сервер настроен неправильно, вы получите сообщение об ошибке и возможных путях её устранения (выберите Проблема будет решена позже).
15. Установите разрешения для объектов службы каталогов - Разрешения, совместимые только с Windows 2000 или Windows Server 2003 и щелкните Далее.
16. Укажите пароль, для учётной записи администратора режима восстановления:
o введите в поле Пароль режима восстановления – 123456;
o введите в поле Подтверждение – 123456;
o подтвердите изменения кнопкой Далее.
17. Ознакомьтесь с сводной информацией об установке службы каталогов и запустите ее установку кнопкой Далее.
18. Завершите работу мастера кнопкой Готово.
19. Перезагрузите виртуальную машину кнопкой Перезагрузить сейчас.
20. Войдите в систему после перезагрузки и завершите установку службы каталогов кнопкой Готово.
Задание 2. Работа с Active Directory Manager
1. Откройте диалоговое окно Пользователи и компьютеры (Пуск/Администрирование/Active Directory – пользователи и компьютеры).
2. Ознакомьтесь с структурой созданного ранее домена:
o разверните узел example.edu.ru;
Рисунок 1. Пользователи и компьютеры домена.
o просмотрите стандартных пользователей домена (Builtin);
o просмотрите контроллеры домена (Domain Controllers).
3. Создайте новый каталог (подразделение/контейнер) в корне сервера:
o активизируйте узел example.edu.ru;
o щелкните по кнопке Создание нового подразделения в текущем контейнере на панели инструментов;
o в появившемся диалоговом окне введите имя создаваемого подразделения - Students (OK);
Будет создан новый контейнер для подразделения и выделение автоматически переместиться на него.
4. Создайте новую учетную запись пользователя в контейнере Students:
o откройте диалоговое окно Новый объект – Пользователь, кнопкой Создание нового пользователя в текущем контейнере ;
o введите данные о пользователе:
§ Полное имя пользователя – Просто Пользователь;
§ Имя входа пользователя (логин) – JustUser;
§ Подтвердите введенные данные кнопкой Далее.
Рисунок 2. Ввод данных нового пользователя.
o установите пароль для пользователя:
§ введите в поле Пароль – User1234;
§ введите в поле Подтверждение – User1234;
§ установите флажок Срок действия пароля не ограничен;
§ завершите ввод пароля кнопкой Далее.
В правой области отобразиться запись, соответствующая созданному пользователю.
5. Введите более полную информацию о пользователе:
o откройте диалоговое окно свойств пользователя (двойной щелчок по надписи Просто пользователь);
o введите в поле Описание – это тестовый пользователь;
o введите в поле Комната - 316 (номер кабинета, в котором проходит занятие);
o введите в поле Телефон – < номер_телефона >;
o укажите адресные данные на вкладке Адрес;
o укажите несколько дополнительных телефонов пользователя на вкладке Телефоны;
o завершите изменение данных пользователя кнопкой ОК.
6. Создайте группу group1 в контейнере Students:
o откройте диалоговое окно создания групп (контекстное меню/Создать/Группа);
o введите имя группы – group1;
o завершите создание группы кнопкой ОК.
Рисунок 3. Создание группы.
7. Задайте дополнительную информацию для группы group1:
o откройте диалоговое окно свойств группы (двойной щелчок по надписи group1);
o введите в поле Описание – Это тестовая группа;
o завершите изменение данных группы кнопкой ОК.
8. Включите созданного ранее пользователя Просто пользователь (JustUser) в группу group1:
o откройте диалоговое окно свойств пользователя (двойной щелчок по записи пользователя);
o перейдите на вкладку Член групп;
o откройте диалоговое окно выбора группы кнопкой Добавить;
o введите название группы – group1;
o завершите добавления пользователя в группу кнопкой ОК.
o закройте диалоговое окно свойств пользователя кнопкой ОК.
9. Выполните редактирование политики безопасности домена, созданную автоматически:
o откройте диалоговое окно свойств домена example.edu.ru (контекстное меню/Свойства);
o перейдите на вкладку Групповая политика:
В списке будет расположена политика домена по умолчанию Default Domain Policy.
Рисунок 4. Свойства домена.
o откройте диалоговое окно (Редактор объектов групповой политики) изменения политики Default Domain Policy (двойной щелчок по политике);
Рисунок 5. Редактор объектов групповой политики
o внесите в изменения в политику паролей:
§ перейдите в раздел Политика паролей (Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики учётных записей/ Политики паролей);
Рисунок 6. Политика паролей.
§ установите минимальную длину пароля:
§ откройте окно изменения параметров пароля (двойной щелчок по надписи Мин. длинна пароля);
§ введите в поле Длина пароля не менее – 5;
§ подтвердите изменения кнопкой ОК;
§ отключите соответствие пароля требованиям сложности:
§ откройте диалоговое окно свойств требования сложности (двойной щелок по надписи Пароль должен отвечать требованиям сложности);
§ установите радиокнопку Отключить;
§ подтвердите изменения кнопкой ОК;
o закройте Редактор объектов групповой политики (Консоль/Выход);
o закройте диалоговое окно свойств домена кнопкой ОК.
10. Выполните выход из системы с повторным входом для активации изменений в политике безопасности. Изменения в политике паролей вступят в силу только после выхода из системы и повторного входа в неё.
11. Измените пароль созданного ранее пользователя:
o активизируйте раздел Students;
o задайте новый, более простой пароль пользователю Просто пользователь:
§ откройте диалоговое окно задания пароль (контекстное меню/Смена пароля);
§ введите в поле Пароль – 123;
§ введите в пол Подтверждение пароля – 123;
Обратите внимание что сообщений о слишком простом пароле не было.
12. Исключите созданного ранее пользователя из группы group1:
o откройте диалоговое окно свойств группы;
o перейдите на вкладку Члены группы;
o выделите в списке удаляемого пользователя и щелкните по кнопке Удалить;
o подтвердите удаление кнопкой Да;
o закройте диалоговое окно свойств группы кнопкой ОК.
13. Включите созданного ранее пользователя в администраторы домена:
o откройте диалоговое окно свойств пользователя Просто пользователь;
o перейдите на вкладку Член групп и щелкните Добавить;
o введите в поле Администраторы домена;
o завершите добавление в группу кнопкой ОК;
o закройте окно свойств пользователя кнопкой ОК.
Задание 3. Присоединение компьютеров под управлением Windows XP к домену.
1. Запустите виртуальную машину VM-3 и загрузите в ней ОС Windows XP.
2. Откройте диалоговое окно Свойства системы (Пуск/Панель управления/Система) и перейдите на вкладку Имя компьютера (Далее).
3. Откройте диалоговое окно Изменение имени кнопкой Изменить.
4. Укажите в разделе Является членом – домена.
5. Введите в поле левую часть имени созданного ранее домена, например example.
Рисунок 7. Изменение имени компьютера.
6. Подтвердите изменения кнопкой ОК. Через некоторое время домен к которому подключается компьютер запросит имя и пароль администратора домена.
7. Введите имя/пароль администратора в созданном ранее домене (JustUser/123).
8. Ознакомьтесь с сообщением от домена «Добро пожаловать в домен» и щелкните ОК.
9. Ознакомьтесь с информацией о необходимости перезагрузки компьютера и закройте окно кнопкой ОК.
10. Закройте диалоговое окно Свойства системы кнопкой ОК.
11. В появившемся диалоговом окне согласитесь с перезагрузкой кнопкой Да. После этого компьютер начнет перезагружаться.
12. Войдите в систему с использованием любой из созданных вами учетных записей.
13. Проверьте действие сделанных вами ограничений в домене.
14. Выключите ВМ VM-1.
Задание 5. Присоединение компьютеров под управлением OpenSUSE Linux к домену.
1. Запустите виртуальную машину VM-1 и загрузите в ней ОС OpenSUSE.
2. Откройте диалоговое окно Hастройки системы (Главное Меню/Компьютер/YaST Администратор).
3. В появившемся диалоговом окне введите пароль администратора системы - 1233456 (задавался при установке системы).
4. Перейдите в раздел Сетевые службы.
5. Запустите Mастер присоединения к домену
6. В появившемся диалоговом окне подтвердите установку дополнительного пакета samba-client кнопкой Продолжить.
7. Введите в поле Домен или группа имя созданного ранее домена (левую часть полного имени домена) – example.
8. Включите разрешение создания общих ресурсов пользователями.
9. Щелкните по кнопке Завершить.
10. Появится сообщение с предложение присоединить компьютер к домену, щелкните по кнопке Да.
11. Укажите данные администратора домена:
o введите в поле Имя пользователя – JustUser;
o введите в поле Пароль – 123;
o подтвердите вод данный кнопкой Да.
12. Проверьте правильность подключения к домену:
o выйдите из системы;
o войдите в систему под одной из учетных записей пользователей домена.
13. Завершите работу ВМ.
Задание 5. Выполните сaмостоятельные задания 5-7.