Администрирование Active Directory.

Перезагрузить сервер.

Ввести пароль для режима восстановления службы каталога.

Подтвердить расположение папок для сохранения файлов AD.

Подтвердить NetBIOS имя домена.

7. Выбрать уровень безопасности для пользователей и групп:

· Разрешения совместимые с пред-Windows 2000 server – если в домене есть программы или службы, работающие на серверах под управлением Windows NT, или компьютер входит в домен под управлением Windows NT.

· Разрешения совместимые только с Windows 2000 server и Windows Server 2003 – если в домене работают только серверы под управлением Windows 2000 server и Windows Server 2003.

Для администрирования Active Directory применяется набор оснасток управления Active Directory. Он состоит из четырех оснасток:

1 Active Directory User and Computers (пользователи и компьютеры) – предназначена для администрирования учетных записей пользователей и компьютеров домена.

2 Active Directory Domains and Trusts (домены и доверие) – используется для установления доверительных отношений между доменами.

3 Active Directory Sites and Service (сайты и службы) – предназначена для управления сайтами и связями сайтов.

4 DNS – администрирование DNS-сервера, интегрированного в Active Directory.

Active Directory пользователи и компьютеры.

Учетные записи пользователей и учетные записи компьютеров Active Directory представляют собой такие же физические объекты, как компьютер или пользователь. Учетные записи пользователей также могут использоваться как записи выделенных служб для некоторых приложений.

Учетная запись пользователя – объект Active Directory, содержащий все сведения, определяющие пользователя в операционной системе Windows. К этим сведениям относятся:

· личные данные пользователя (ФИО, телефон, e-mail, почтовый адрес, сведения об организации);

· параметры учетной записи (имя пользователя и пароль, требуемые для входа пользователя в систему, срок действия учетной записи, управление паролем, параметры шифрования и проверки подлинности);

· имена групп, членом которых пользователь является;

· профиль пользователя (содержит сведения о настройках для конкретного пользователя, такие как настройки рабочего стола, постоянные сетевые подключения и параметры приложений);

· прочие сведения (профиль служб терминалов, удаленное управление, управление сеансом и др.).

Учетная запись компьютера - объект Active Directory, однозначно определяющий компьютер в домене. Учетная запись компьютера соответствует имени компьютера в домене. Компьютер, учетная запись которого добавлена в домен, может участвовать в выполнении сетевых операций, использующих содержимое Active Directory. Например, рабочая станция, добавленная в домен, получает возможность распознавать учетные записи и группы, существующие в Active Directory.

@ Компьютеры с операционными системами Windows 95, Windows 98 и Windows Me не имеют дополнительных функций безопасности и им не могут быть назначены учетные записи компьютеров.

Группа – это семейство учетных записей пользователей и компьютеров, контактов и других групп, которым можно управлять как единым целым. Пользователи и компьютеры, которые принадлежат к отдельной группе, называются членами группы. Группы в Active Directory являются объектами каталога, которые располагаются внутри объектов контейнера домена и подразделения.

Группы в Active Directory дают возможность:

· упрощать администрирование, назначая разрешения на общий ресурс для группы, а не для индивидуальных пользователей. Это обеспечивает одинаковый доступ к ресурсу для всех членов этой группы;

· делегировать администрирование, назначая права пользователям сразу для всей группы через групповую политику, а затем добавляя необходимых членов к группе, которые должны иметь те же права, что и группа;

· создавать списки рассылки электронной почты.

Группы характеризуются их областью действия и типом. Область действия группы определяет диапазон, в котором применяется группа внутри домена или леса. Существуют три различные области действия: универсальная, глобальная и локальная доменная.

· Локальная доменная (локальная встроенная) – члены групп с локальной доменной областью действия могут включать другие группы и учетные записи из доменов Windows Server 2003, Windows 2000 или Windows NT, и им могут быть предоставлены разрешения только внутри домена.

@ Локальные доменные группы следует использовать для управления доступом к ресурсам в пределах одного домена.

· Глобальная – члены групп с глобальной областью действия могут включать другие группы и учетные записи только из домена, в котором определена группа, и им могут быть предоставлены разрешения в любом домене леса.

@ Группы с глобальной областью действия рекомендуется применять для управления теми объектами каталога, которые требуют ежедневной поддержки. Таковыми, например, являются учетные записи пользователей и компьютеров. Поскольку группы с глобальной областью действия не реплицируются за пределы своего домена, учетные записи, содержащиеся в таких группах, можно часто менять, не вызывая дополнительного трафика, связанного с репликацией в глобальный каталог.

· Универсальная - члены групп с универсальной областью действия могут включать другие группы и учетные записи из любого домена в дереве доменов или лесу, также им могут предоставляться разрешения в любом домене в составе дерева доменов или леса.

@ Назначайте универсальную область действия для групп, объединяющих домены. Для этого добавьте учетные записи в группы с глобальной областью действия, а затем вложите эти группы в группы с универсальной областью действия. При использовании такого подхода изменение членства в группах с глобальной областью действия не влияет на группы с универсальной областью действия.


 

  Члены группы   Область действия группы Свой домен Другой домен
учетные записи локальные группы глобальные группы универсальные группы учетные записи локальные группы глобальные группы универсальные группы
Локальная + + + + +   + +
Глобальная +   +          
Универсальная +   + + +   + +

 

Область действия группы Разрешения в других доменах Репликация с другими доменами
Локальная    
Глобальная +  
Универсальная + +

 

Тип группы определяет, может ли группа использоваться для назначения разрешений для ресурсов или только для списков рассылки электронной почты.

Группы безопасности – обеспечивают эффективное управление доступом к ресурсам сети. Использование групп безопасности позволяет выполнять следующие действия:

· Назначать права пользователя группе безопасности в Active Directory. Права пользователя, заданные для групп безопасности, определяют, что может делать член данной группы в области действий домена (или леса). Права пользователя автоматически задаются для групп безопасности во время установки Active Directory для помощи администраторам в определении роли административных пользователей в домене. Например, пользователь, добавленный в группу «Операторы архива» в Active Directory, получает возможность создавать архивы и восстанавливать файлы и каталоги на любом контроллере домена в домене. Можно задать права пользователей группе безопасности, используя групповую политику, для делегирования конкретных задач. При задании делегированных задач необходимо соблюдать осторожность. Неопытный пользователь, наделенный слишком большими правами в группе безопасности, потенциально может нанести серьезный урон сети.

· Назначать разрешения на использование ресурсов для групп безопасности. Не следует путать разрешения с правами пользователей. Разрешения задаются для групп безопасности, использующих общие ресурсы. Разрешения определяют, кто может получить доступ к данному ресурсу и уровень доступа, например полный доступ. Некоторые разрешения, установленные для объектов домена, автоматически задаются для различных уровней доступа группам по умолчанию, таким как «Операторы учета» или «Операторы домена». Дополнительные сведения о разрешениях см. в разделе Управление доступом в Active Directory.

@ Группы безопасности перечислены в избирательных таблицах управления доступом, которые определяют разрешения на ресурсы и объекты. Администраторам следует назначать разрешения для ресурсов (общих файлов, принтеров, и т. д.) группам безопасности, а не отдельным пользователям. Разрешения назначаются группе один раз, вместо назначения прав каждому отдельному пользователю. Каждая учетная запись при добавлении к группе получает права, заданные данной группе в Active Directory, и разрешения, определенные для данной группы на ресурсе.

Группы распространения – используются только приложениями электронной почты для отправки сообщений электронной почты группам пользователей. Группы распространения не используют систему безопасности, иначе говоря, они не могут быть включены в избирательные таблицы управления доступом (DACL). Если группа создается для контроля доступа к общим ресурсам, эта группа должна быть группой безопасности.

@ Группы безопасности также могут использоваться в качестве адресатов электронной почты, как и группы распространения. Сообщение электронной почты, отправленное группе, отправляется всем членам группы.

Существуют также группы, для которых нельзя изменить или просмотреть сведения о членстве. Эти группы называются специальными удостоверениями и используются для представления различных пользователей в различные моменты времени, в зависимости от обстоятельств.

(Анонимный вход, Все, Сеть, Интерактивные)

Например, группа «Все» представляет всех текущих пользователей сети, включая гостей и пользователей из других доменов. Дополнительные сведения см. в разделе Специальные удостоверения.

 

Учетные записи пользователей и компьютеров (а также группы) называются участниками безопасности. Участники безопасности являются объектами каталогов, которым автоматически назначаются коды безопасности (SID) для доступа к ресурсам домена. Учетная запись пользователя или компьютера используется для следующих целей:

· проверка подлинности пользователя или компьютера.

· разрешение или запрещение доступа к ресурсам домена.

· администрирование других участников безопасности (для представления участника безопасности из внешнего доверенного домена).

· аудит действий, выполняемых с использованием учетной записи пользователя или компьютера.

Для назначения прав одновременно большому числу пользователей используются группы безопасности. Учетные записи могут группироваться с использованием организационных единиц (контейнеров).

Для обеспечения безопасности проверки подлинности пользователя следует создавать отдельные учетные записи для каждого пользователя сети, применяя для этого оснастку «Active Directory пользователи и компьютеры».

Каждая учетная запись пользователя Active Directory имеет ряд параметров, относящихся к безопасности и определяющих, как производится проверка подлинности данной учетной записи при входе в сеть.