Этот курс предназначен для системных администраторов сетей на базе Windows 2000 и всех, кто осваивает самую популярную в мире операционную систему фирмы Microsoft. Системный администратор это специалист


domain1.mns может использоваться для поиска записи ресурса MX



Pdf просмотр
страница10/10
Дата13.12.2016
Размер5.01 Kb.
Просмотров1158
Скачиваний0
1   2   3   4   5   6   7   8   9   10
domain1.mns может использоваться для поиска записи ресурса MX, что позволит приложению электронной почты направлять или обмениваться сообщениями с пользователем, имеющим почтовый адрес user@domain1.mns.
Запись ресурса MX показывает доменное имя DNS для компьютера или компьютеров, которые обрабатывают почту для домена. Если существуют несколько записей ресурсов MX, служба
DNS-клиент пытается установить связь с почтовыми серверами в порядке указанного предпочтения,
от минимального значения (высший приоритет) к максимальному (низший приоритет). Ниже приводится пример основного синтаксис при использовании записи ресурса MX.
почтовое_доменное_имя IN MX предпочтение узел_почтового_сервера

С помощью записей ресурсов MX, показанных ниже для зоны domain1.mns, почта с адресом
user@domain1.mns будет, по возможности, доставлена на адрес user@mailserver0.domain1.mns. Если этот сервер недоступен, клиент службы сопоставления имен может использовать адрес
user@mailserver1.domain1.mns.
@ IN MX 1 mailserver0
@ IN MX 2 mailserver1
Следует отметить, что использование символа (@) в записях указывает, что доменное имя DNS
отправляющего совпадает с исходным именем зоны (domain1.mns).
Записи ресурсов размещения службы (SRV)
Чтобы обнаружить контроллеры домена службы каталогов Active Directory в Windows 2000, требуются записи ресурсов расположения службы (SRV). Обычно при установке службы каталогов Active
Directory нет необходимости вручную администрировать записи ресурсов SRV.
Мастер установки службы каталогов Active Directory по умолчанию пытается обнаружить DNS-сервер по списку основных или дополнительных DNS-серверов, указанных в свойствах клиента TCP/IP для каждого из его активных сетевых подключений. Если выполняется соединение с DNS-сервером,
который может принимать динамическое обновление записи ресурса SRV (и других записей ресурсов,
относящихся к регистрации Active Directory как службы в DNS), то процесс задания конфигурации завершается.
Если во время установки не обнаруживается DNS-сервер, который может принимать обновления для выбранного имени домена, то DNS-сервер Windows 2000 может быть установлен локально и автоматически настроен с зоной, базирующейся на домене службы каталогов Active Directory.
Например, если доменом Active Directory, выбранным в качестве первого домена в лесу, является
domain1.mns, будет добавлена зона с корневым доменным именем DNS domain1.mns. Эта зона будет настроена на использование с DNS-сервером, выполняющемся на новом контроллере домена.
Если не установить DNS-сервер, встроенный в Windows 2000, то в процессе установки службы каталогов Active Directory создается и записывается файл (Netlogon.dns), содержащий записи ресурсов
SRV и другие записи ресурсов, требуемые для поддержки Active Directory. Этот файл создается в папке
%SystemRoot%\System32\Config.
Если используется DNS-сервер, отвечающий одному из следующих описаний, необходим использовать записи в файле Netlogon.dns, чтобы вручную настроить основную зону на сервере для поддержки службы каталогов Active Directory.
1.
Компьютер, работающий как DNS-сервер, выполняет другую операционную систему, такую как UNIX, и не может распознавать или принимать динамические обновления.
2.
DNS-сервер на этом компьютере является полномочным для основной зоны, соответствующей доменному имени DNS домена службы каталогов Active Directory.
3.
DNS-сервер поддерживает записи ресурсов SRV, но не поддерживает динамические обновления. Например, служба DNS, обеспечиваемая Windows NT Server 4.0, после обновления до Service Pack 4 или более поздней версии удовлетворяет этому описанию.

Упражнение 4.Б: "Установка и
настройка службы DNS"
Краткое описание
В этом упражнении Вы научитесь устанавливать и настраивать на сервере службу DNS.
Предварительные требования к выполнению
упражнения
Вам нужно самостоятельно установить Windows 2000 Server, чтобы выполнить эту и последующие работы в темах 4 и 6. Предполагается, что навыки установки сервера Вы получили в результате прослушивания очных курсов.
Порядок выполнения упражнения
1.
Войдите в операционную систему под учетной записью пользователя, имеющего права администратора.
2.
Последовательно выберите Пуск, Настройка, Панель управления, Установка и удаление
программ.
3.
В окне Установка и удаление программ выберите Добавление и удаление компонентов
Windows.
4.
На странице Мастер компонентов Windows выберите пункт Сетевые службы и нажмите
Состав....
5.
На странице Сетевые службы отметьте флажок DNS и нажмите ОК. Нажмите Далее, чтобы продолжить установку службы.
6.
Если Мастер компонентов Windows запросит файлы из дистрибутива Windows 2000, вставьте в CD-дисковод компакт-диск с дистрибутивом Windows 2000 Server и укажите путь к требуемым файлам.
7.
На странице Завершение работы мастера компонентов Windows нажмите Готово.
8.
Последовательно выберите Пуск, Программы, Администрирование, DNS
9.
В дереве консоли щелкните DNS, DNS-сервер, Зоны прямого просмотра. В меню Действие
выберите Создать новую зону.
10.
На странице Вас приветствует мастер создания новой зоны нажмите Далее.
11.
На странице Тип зоны выберите Основная, нажмите Далее.
12.
На странице Имя зоны в поле Имя введите domain1.local, нажмите Далее.
13.
На странице Файл зоны нажмите Далее, чтобы оставить имя файла зоны по умолчанию.
14.
На странице Завершение работы мастера создания новой зоны нажмите Готово.
15.
Щелкните правой кнопкой мыши на зоне domain1.local и выберите Создать узел...
16.
В окне Новый узел введите в поле Имя значение testserver1, а в поле IP-адрес - 192.168.105.7.
Нажмите Добавить узел, ОК, а затем Готово.
17.
Щелкните правой кнопкой мыши на зоне domain1.local и выберите Свойства.
18.
На закладке Общие в поле Динамическое обновление выберите пункт Да.
19.
Переключитесь на закладку Передача зон и установите переключатель в положение Только на
серверы, перечисленные на странице серверов имен.
20.
Нажмите ОК для завершения настройки.

Тема 5
Структура Active Directory
В этой теме:
Рассматриваются основные понятия и архитектура Active Directory. Объясняются различия между службой DNS и Active Directory.

Занятие 1: "Служба каталогов
Active Directory".
Что такое служба каталогов?
Каталогом называется база данных, используемая для хранения сведений о необходимых объектах.
Пример каталога - телефонный справочник, который содержащий данные о телефонных абонентах. В
распределенных вычислительных системах или общедоступных компьютерных сетях, например в
Internet, существует множество объектов - таких, как принтеры, серверы службы факсов, приложения,
базы данных, пользователи. Пользователи должны уметь находить и использовать эти объекты, а администраторам необходимо управлять их использованием.
Служба каталогов отличается от каталога тем, что является одновременно базой данных и службой,
которая обеспечивает доступ пользователей к данным.
Зачем нужна служба каталогов?
Служба каталогов - один из наиболее важных компонентов распределенной компьютерной системы.
Пользователи и администраторы могут не знать точных имен интересующих объектов, а только один или несколько атрибутов этих объектов. Для получения списка объектов, обладающих этим атрибутом или набором атрибутов, они запрашивают каталог. Например: "Найти все принтеры с двусторонней печатью, расположенные в здании № 26". Служба каталогов позволяет пользователю найти любой объект в базе данных по заданному атрибуту.
Служба каталогов может решать следующие задачи:

Обеспечивать уровень безопасности сети с помощью авторизации пользователя и контроля уровня его доступа к ресурсам.

Обеспечивать поиск ресурсов в сети (компьютеров, принтеров и общих папок).

Выполнять репликацию каталога, чтобы обеспечить доступ большему числу пользователей и повысить защищенность сети от сбоев.

Разбивать каталог на несколько разделов, чтобы увеличить общую отказоустойчивость каталога и уменьшить объем репликации для каждого раздела.
Служба каталогов - это инструмент не только администратора, но и конечного пользователя. По мере роста числа объектов в сети повышается значение службы каталогов. Служба каталогов - это та ось,
вокруг которой вращается вся информационная система организации.
Что такое Active Directory?
Active Directory - это служба каталогов, входящая в операционную систему Windows 2000 Server. В
Active Directory хранятся записи для конкретных физических ресурсов (пользователей, компьютеров,
принтеров ...). Сами эти записи называются объектами службы каталогов.
Создание централизованной базы данных, как и установка сетевой службы, обеспечивающей работу службы каталогов, происходят при установке Active Directory на сервер Windows 2000. После установки этот сервер выполняет роль контроллера домена, а остальные компьютеры (сервера и рабочие станции) необходимо ввести в состав домена. Для этих компьютеров и всех пользователей сети
должны быть созданы учетные записи в базе данных службы каталогов.

Занятие 2: "Основные понятия
Active Directory".
Объект
Объект - это запись в базе даннных или набор атрибутов, представляющий нечто конкретное - пользователя, принтер, приложение. Атрибуты содержат данные, описывающие объект в каталоге.
Так, атрибуты пользователя могут содержать его имя, фамилию и адрес электронной почты.
Контейнер
Контейнер подобен объекту в том, что у него есть атрибуты. Но в отличие от объекта, он не описывает нечто конкретное. Это "оболочка", объединяющая подмножество объектов и контейнеров.
По аналогии с файловой системой контейнеры в домене можно сравнить с директориями и поддиректориями на диске. В Active Directory контейнеры используются для делегирования административных прав и назначения настроек через групповые политики.
Имя
Имена используются для различения объектов в Active Directory. Служба Active Directory допускает существование следующих типов имен.
Уникальное имя
Каждый объект в Active Directory имеет уникальное имя. Это имя содержит указание на домен, в
котором находится объект, и полный путь в иерархической структуре контейнеров, который приводит к данному объекту. Типичным уникальным именем является имя
/DC=Company/DC=Ru/CN=Users/CN=Vasily Pupkin
Это имя обозначает объект типа "пользователь" с именем "Vasily Pupkin", находящийся в домене
Company.Ru
Относительное имя
Относительное уникальное имя объекта - это та часть уникального имени, которая обозначает объект. Оно должно быть уникальным только в пределах родительского контейнера, что обеспечивает глобальную уникальность объектов Active Directory. В приведенном выше примере относительным именем объекта "Vasily Pupkin" является имя CN=Vasily Pupkin. Относительным именем родительского объекта является имя CN=Users.
Имя для входа в домен.
Каждый пользователь для входа в домен должен иметь имя для входа (logon name). Оно является атрибутом учетной записи (объекта для этого пользователя) и должно быть уникальным в пределах домена.
Домены
Домен - это централизованно управляемая система, хранящая информацию о сетевых ресурсах и пользователях. Домен является основной единицей администрирования и отдельной областью безопасности в сети Windows NT или Windows 2000. Каждый домен имеет свою отдельную группу администраторов домена и свои настройки безопасности. При управлении объектами администратор обычно работает только с базой данных в пределах одного домена. С физической точки зрения один домен может включать в себя компьютеры, расположенные в разных местах.
Служба каталогов Active Directory может состоять из одного или нескольких доменов. Сразу после установки первого контроллера домена Active Directory представлена только одним доменом, но всегда можно создать новые домены в той же Active Directory. Все домены в пределах одного леса Active
Directory связаны доверительными отношениями, пользуются одной схемой (описанием всех возможных для этой базы данных объектов и их атрибутов), пользуются одним глобальным
каталогом (общий индекс баз данных в каждом домене - используется при поисках по всему лесу).
Дерево доменов
Термин дерево используется для описания иерархии объектов и контейнеров. Вершины дерева обычно являются объектами. Узлы дерева (точки, где дерево ветвится) являются контейнерами.
Дерево показывает связь между объектами или путь от одного объекта к другому.
Дерево доменов состоит из нескольких доменов, которые имеют общую логическую структуру и конфигурацию и образуют непрерывное пространство имен. Домены в дереве связаны между собой доверительными отношениями. В лес Active Directory может входить одно или несколько деревьев.
Дерево графически можно представить через пространство доменных имен.

Уникальное имя объекта можно определить, двигаясь вверх по доменному дереву, начиная с объекта.
Такой метод удобен при объединении объектов в логическую иерархическую структуру. Главное достоинство непрерывного пространства имен состоит в том, что глубокий поиск, проводимый от корня дерева, позволяет просмотреть все иерархические уровни пространства имен.
Лес
Лесом называется одно или несколько деревьев, которые не образуют непрерывного пространства
имен. Все деревья одного леса имеют общую логическую структуру (схему), конфигурацию и глобальный каталог, и поддерживают друг с другом транзитные доверительные отношения,
автоматически устанавливаемые на основе протокола Kerberos.
Корневой домен леса - первый домен, созданный в данной Active Directory. Только на нем существует группа Администраторы предприятия, имеющая право на любые операции с Active Directory - например, добавление новых доменов.

Занятие 3: "Интеграция Active
Directory со службой DNS"
Общие сведения об интеграции с DNS
Хотя Active Directory интегрируется с DNS и они имеют общую структуру пространства имен, нужно понимать разницу между ними.

DNS является службой разрешения имен.
Клиенты DNS посылают запросы на разрешение имен DNS на свой сервер DNS. Сервер DNS
получает эти запросы и разрешает их с помощью локальных файлов или связывается с другим сервером DNS для разрешения имен. Для работы DNS не требуется Active Directory.

Active Directory является службой каталога.
Active Directory предоставляет хранилище данных и службы для предоставления данных пользователям и приложениям. Клиенты Active Directory посылают запросы на серверы с использованием протокола LDAP (Lightweight Directory Access Protocol). Для поиска сервера
клиенты Active Directory посылают запросы на DNS. Поэтому для функционирования Active
Directory требуется DNS.
Active Directory использует DNS в качестве службы адресации для разрешения доменов, сайтов и имен служб Active Directory в IP-адреса.
Для входа в домен Active Directory клиент сначала должен обнаружить контроллер для своего домена
Active Directory. Для обнаружения контроллера определенного домена клиент Active Directory отправляет запрос на разрешение имени DNS на соответствующий сервер (серверы). Запрос имеет следующие характеристики.

Тип записи: запись ресурса SRV

Имя запроса: _ldap._tcp.имя_домена
Например, для входа в домен microinform.ru, клиент Active Directory отправляет запрос типа SRV на разрешение имени DNS _ldap._tcp.microinform.ru.
Ответ от DNS-сервера содержит DNS-имена контроллеров домена и соответствующие им IP-адреса.
Используя список IP-адресов контроллеров домена, клиент пытается подключиться к каждому из них них по очереди для проверки работоспособности контроллеров домена. Первый контроллер домена,
от которого получен ответ, используется для входа в сеть.
Требования к серверам DNS для Active
Directory
Для корректного функционирования Active Directory серверы DNS должны поддерживать записи ресурсов типа SRV. Записи ресурсов типа SRV связывают имя службы с именем сервера,
предоставляющего данную службу. Клиенты и контроллеры домена Active Directory используют записи
SRV для определения IP-адресов контроллеров домена. Хотя это не является необходимым требованием для работы Active Directory, рекомендуется, чтобы серверы DNS поддерживали динамическое обновление записей в DNS.

Служба DNS в Windows 2000 поддерживает записи SRV и динамические обновления. Если используется сервер DNS, отличный от Windows 2000, следует проверить, поддерживает ли он, как минимум, записи ресурсов типа SRV. Если он не поддерживает данный тип записи, то требуется обновить сервер до соответствующей версии. Например, службу DNS в Windows NT Server 4.0
необходимо обновить до пакета обновления Service Pack 4 или более поздней версии для поддержки записей SRV.

Занятие 4: "Роли хозяев
операций"
Active Directory поддерживает репликацию хранилища данных каталога между всеми контроллерами домена. Однако, некоторые изменения можно выполнять только на одном контроллере домена. Его называют хозяином операции, и только он принимает запросы на такие изменения. Роль хозяина операций может быть передана другим контроллерам в составе домена или леса.
Лес Active Directory содержит пять ролей хозяина операций, назначаемых одному или нескольким контроллерам домена. Некоторые роли должны быть в составе каждого леса. Остальные роли должны быть в каждом домене леса.
По умолчанию все пять ролей выполняет первый установленный в лес контроллер домена. Если планируется удалить его из сети, нужно передать все его пять ролей любому другому контроллеру в сети. При выходе из строя первого установленного контроллера (или если роли забыли передать до его удаления) можно присвоить эти роли. Как выполнить эти операции, описано в занятии 5 темы 6
"Перемещения ролей хозяев операций"
Роли хозяина операций на уровне всего леса
Каждый лес Active Directory должен содержать следующие роли.

Хозяин схемы

Хозяин именования домена
Данные роли должны быть уникальными в пределах леса. Это означает, что в пределах всего леса может быть только один хозяин схемы и один хозяин именования домена.
Хозяин схемы
Хозяин схемы управляет всеми обновлениями и изменениями схемы. Для обновления схемы леса необходимо иметь доступ к хозяину схемы. В любой момент времени может быть только один хозяин схемы в составе всего леса.
Хозяин именования домена
Контроллер домена, выполняющий роль хозяина именования домена, управляет операциями добавления или удаления доменов в составе леса. В любой момент времени может быть только один хозяин именования домена в составе всего леса.
Роли хозяина операций на уровне всего домена
Каждый домен Active Directory должен содержать следующие роли.

Хозяин относительных идентификаторов

Эмулятор основного контроллера домена

Хозяин инфраструктуры
Эти роли должны быть уникальными в пределах каждого домена. Это означает, что в каждом домене в
составе леса может быть только один хозяин относительных идентификаторов, один эмулятор основного контроллера домена и один хозяин инфраструктуры.
Хозяин относительных идентификаторов
Хозяин относительных идентификаторов назначает ряд относительных идентификаторов каждому контроллеру в своем домене. В любой момент времени в каждом домене леса может быть только один контроллер домена, выполняющий роль хозяина относительных идентификаторов.
Каждый раз при создании объекта пользователя, группы или компьютера, контроллер домена назначает данному объекту уникальный код безопасности. Код безопасности состоит из кода безопасности домена (который одинаков для всех кодов безопасности, созданных в этом домене) и относительного кода безопасности, уникального для каждого кода безопасности, созданного в домене.
Эмулятор основного контролера домена
Если в домене есть компьютеры c операционными системами Windows 95/98/NT 4.0 без установленного клиентского программного обеспечения для Active Directory или резервные контроллеры домена Windows NT, эмулятор основного контроллера домена работает как основной контроллер домена Windows NT. Он обрабатывает изменения паролей от клиентов и реплицирует обновления на резервные контроллеры домена. В любой момент времени в каждом домене может быть только один контроллер домена, выполняющий роль эмулятора основного контроллера домена.
При работе домена Windows 2000 в основном режиме, эмулятор основного контроллера получает копию изменений пароля, выполненных другими контроллерами в данном домене. При изменении пароля репликация этих изменений на каждый контроллер домена занимает некоторое время. Если при входе в сеть проверка подлинности на одном контроллере домена заканчивается неудачно из-за ввода неверного пароля, прежде чем отказать в доступе, он пересылает запрос на проверку подлинности на эмулятор основного контроллера домена.
Хозяин инфраструктуры
Хозяин инфраструктуры отвечает за обновление ссылок "группа-пользователь" при переименовании или изменении членов группы. В любой момент времени в каждом домене может быть только один контроллер домена, выполняющий роль хозяина инфраструктуры.
При переименовании или перемещении члена группы (и размещении данного члена в другом домене,
отличном от домена этой группы) он может временно не отображаться в группе. Хозяин инфраструктуры домена, содержащего данную группу, отвечает за обновление группы и обладает сведениями об имени и расположении данного члена. Хозяин инфраструктуры распространяет обновленные сведения с помощью репликации с несколькими хозяевами.
В период между переименованием члена группы и обновлением этой группы безопасность системы не подвергается риску. Только администратор, просматривающий участие в отдельной группе, может заметить временное несоответствие.

Тема 6
Администрирование Active
Directory
В этой теме:
Рассматривается администрирование Active Directory с помощью инструмента "Active Directory - пользователи и компьютеры". Даются знания и практические навыки по управлению учетными записями пользователей, групп и компьютеров. Обсуждаются вопросы настройки политик безопасности. Описываются способы перемещения ролей хозяев операций.

Занятие 1: "Управление
учетными записями
пользователей"
Учетные записи пользователей Active Directory
Учетная запись Active Directory позволяет пользователю входить на компьютеры и в домен с использованием учетной записи. Каждый пользователь, входящий в сеть, должен иметь собственную учетную запись и пароль.
Windows 2000 предоставляет стандартные учетные записи пользователей Active Directory, которые могут использоваться для входа в домен. Существуют две стандартные учетные записи:

Учетная запись администратора.

Учетная запись гостя.
Стандартные учетные записи создаются по умолчанию и предназначены для входа на контроллер домена и доступа к его ресурсам. Они используются в основном для начального входа в систему и настройки домена. Каждая стандартная учетная запись имеет разную комбинацию прав и разрешений.
Учетная запись администратора имеет самые большие права и разрешения, а учетная запись гостя - ограниченные права и разрешения, кроме того, изначально по умолчанию она отключена.
Стандартные учетные записи могут использоваться любым пользователем или службой для входа в сеть, но для обеспечения безопасности следует создавать отдельные учетные записи для каждого пользователя, входящего в сеть, с помощью инструмента "Active Directory - пользователи и компьютеры". Каждая учетная запись пользователя (включая учетные записи администратора и гостя)
может быть добавлена в группу Windows 2000 для управления правами и разрешениями,
назначенными этой учетной записи. Использование учетных записей и групп позволяет проверить подлинность входящего в сеть пользователя и возможность предоставления доступа к разрешенным ему ресурсам.
Чтобы использовать инструмент "Active Directory - пользователи и компьютеры", в панели
управления последовательно выберите Администрирование, Active Directory - пользователи и
компьютеры.
Создание учетной записи пользователя
1.
Откройте инструмент "Active Directory — пользователи и компьютеры".
2.
В дереве консоли дважды щелкните узел домена.
3.
На правой панели щелкните правой кнопкой мыши организационное подразделение
(например, стандартный контейнер "Users"), в которое необходимо добавить пользователя,
выберите Создать, Пользователь.

4.
В поля Имя, Инициалы и Фамилия введите соответствующие данные для пользователя.
5.
Измените сведения в поле Полное имя, если необходимо, чтобы в списках Active Directory учетная запись отображалась по-другому.
6.
В поле Имя входа пользователя введите имя, под которым пользователь будет входить в домен.
7.
Если пользователь будет входить на компьютеры под управлением Windows NT, Windows 98
или Windows 95, под разными именами, то следует указать другое имя в поле Имя входа
пользователя (пред-Windows 2000).
8.
В полях Пароль и Подтверждение введите пароль пользователя.

9.
Установите флажок Потребовать смену пароля при следующем входе в систему, чтобы только пользователь знал свой пароль и самостоятельно менял его. Иначе предполагается, что работой по установке паролей и их изменению занимается администратор домена.
После создания учетной записи пользователя измените ее свойства для ввода дополнительных сведений. Для добавления пользователя также можно скопировать ранее созданную учетную запись.
Удаление учетной записи пользователя
Для удаления учетной записи пользователя в инструменте "Active Directory — пользователи и компьютеры" щелкните учетную запись правой кнопкой мыши и выберите Удалить.
Внимание! Новая учетная запись пользователя с тем же именем, что и ранее удаленная, не получает разрешения и участие в группах ранее удаленной учетной записи, так как дескриптор безопасности для каждой учетной записи уникален. Для создания копии удаленной учетной записи все разрешения и участие в группах необходимо восстановить вручную. Поэтому вместо удаления рекомендуется отключать учетные записи.
Отключение учетной записи пользователя
Для предотвращения входа в сеть определенных пользователей их учетные записи вместо полного удаления могут быть отключены. Для отключения учетной записи пользователя в инструменте "Active
Directory — пользователи и компьютеры" щелкните учетную запись правой кнопкой мыши и выберите
Отключить учетную запись.
Изменение пароля для учетной записи
пользователя
Для изменения пароля учетной записи пользователя щелкните правой кнопкой мыши учетную запись и выберите Смена пароля. Введите новый пароль и подтверждение. Внимание! Для смены пароля знать старый пароль не требуется.

Если политика организации допускает самостоятельную установку пароля пользователем, установите флажок Потребовать смену пароля при следующем входе в систему.
Изменение свойств учетной записи
пользователя
Кроме обязательных параметров при создании учетной записи стоит заполнить некоторые из необязательных полей. На закладке Общие можно изменить имя и фамилию пользователя, если при создании учетной записи они введены неправильно, а также можно добавить номер телефона,
комнаты, адрес электронной почты данного пользователя. Заполнение необязательных полей позволит пользователям применять Active Directory как справочник, в котором можно найти дополнительную информацию о коллегах.
Еще одна закладка в свойствах учетной записи пользователя - Учетная запись. Здесь можно изменить имя учетной записи пользователя, под которой он входит в сеть, установить ограничения по времени
работы или используемым рабочим станциям, а также задать дополнительные настройки по безопасности - Потребовать смену пароля при следующем входе в систему, Запретить смену
пароля пользователем, Срок действия пароля не ограничен и т.д.

Упражнение 6.А: "Создание и
изменение учетных записей
пользователей домена"
Краткое описание
В этом упражнении Вы научитесь создавать учетные записи пользователей в домене.
Предварительные требования к выполнению
упражнения
Вы должны самостоятельно установить Windows 2000 Server и Аctive Directory, чтобы выполнить эту и последующие работы в теме 6. Предполагается, что навыки установки сервера и Аctive Directory Вы получили в результате прослушивания очных курсов.
Порядок выполнения упражнения
1.
Войдите в домен под учетной записью пользователя, имеющего права администратора домена.
2.
Последовательно выберите Пуск, Программы, Администрирование, Active Directory -
пользователи и компьютеры
3.
Правой кнопкой щелкните на папке Users и выберите Создать, Пользователь.
4.
В поле Имя введите Василий, а в поле Фамилия - Пупкин. В поле Имя входа пользователя
введите vpupkin и нажмите Далее
5.
Введите в поле Пароль и Подтверждение пароля userpassword и нажмите Далее. Нажмите
Готово для создания пользователя.
6.
Правой кнопкой щелкните на папке Users и выберите Создать, Пользователь.
7.
В поле Имя введите Александр, а в поле Фамилия - Админов. В поле Имя входа
пользователя введите admin и нажмите Далее
8.
Введите в поле Пароль и Подтверждение пароля adminpassword и нажмите Далее. Нажмите
Готово для создания пользователя.
9.
Нажмите ОК, чтобы сохранить изменения.
10.
Правой кнопкой щелкните на учетной записи Василий Пупкин и нажмите Свойства.
11.
На закладке Общие в поле Комната введите 203, в поле Телефон введите 42-03 а в поле
Электронная почта - vasyapupkin@hotmail.ru
12.
На закладке Учетная запись щелкните на Время входа... и разрешите для этой учетной записи работу только с 8 часов утра до 19 часов вечера.
13.
Последовательно выберите Пуск Найти, Людей...
14.
Выберите Место поиска - Active Directory и в поле Имя введите Василий.
15.
Нажмите Найти. Удостоверьтесь, что была найдена учетная запись пользователя Василий
Пупкин.

Занятие 2: "Управление
учетными записями групп"
Типы и области действия групп
Типы групп
В Active Directory существует два типа групп.

Группы безопасности

Группы распространения
Группы безопасности используются в избирательных таблицах управления доступом (DACL),
определяющих разрешения для ресурсов и объектов.
Группы распространения не используются для безопасности. Они не могут быть включены в DACL.
Группы распространения используются только приложениями электронной почты (например,
Exchange) для отправки сообщений электронной почты группам пользователей.
Области действия групп
Каждая группа безопасности и распространения имеет область действия, определяющую диапазон в дереве доменов или лесе, в котором применяется группа:

Группы с глобальной областью действия (или глобальные группы) могут иметь в качестве членов группы и учетные записи только из домена, в котором определена данная группа. Ей могут быть предоставлены разрешения в любом домене леса. Глобальные группы используются, как списки пользователей из данного домена, которым надо предоставить доступ к ресурсу. Глобальные группы включаются в локальные группы домена для получения разрешения на ресурсы.

Группы с локальной доменной областью действия (или локальные группы домена ) могут иметь в качестве членов группы и учетные записи из домена Windows 2000 или Windows NT и использоваться для предоставления разрешений только в пределах домена. Локальным группам домена предоставляются разрешения на доступ к ресурсу, и уже в них включаются глобальные группы (списки пользователей, которым необходим доступ).
Встроенные локальные и глобальные группы
Встроенные группы устанавливаются в папки Builtin и Users консоли «Active Directory — пользователи и компьютеры» при установке контроллера домена. Это - группы безопасности и содержат общие наборы прав и разрешений, которые могут быть использованы для предоставления некоторых ролей,
прав и разрешений учетным записям и группам, помещаемым в данные группы.
Локальные группы по умолчанию расположены в папке Builtin, глобальные группы расположены в папке Users. Можно перемещать встроенные и стандартные группы в папки других групп или подразделений домена, но не в другие домены.
Встроенные локальные группы


Операторы учета - имеют права на все операции с учетными записями в домене, а также право локального входа на контроллеры домена.

Администраторы - имеют все права в домене

Операторы архива - имеют права архивировать и восстанавливать файлы на контроллерах домена, независимо от всех разрешений, которыми защищены эти файлы. Также они имеют право локального входа на контроллеры домена.

Гости - имеют права доступа по сети к контроллеру домена c ограниченными возможностями
(для случайных или разовых пользователей).

Операторы печати - имеют права управлять всеми принтерами и документами,
печатающимися на них.

Операторы сервера - имеют права на все операции с сервером, кроме управления учетными записями в домене, а также право локального входа на контроллеры домена.

Пользователи - имеют права доступа по сети к контроллеру домена. В эту группу входят все учетные записи, кроме гостей.
Данные встроенные локальные группы имеют область действия в пределах домена и в основном используются для назначения стандартного набора прав пользователям, которым необходимы некоторые административные права в домене.
Встроенные глобальные группы

Администраторы домена - список всех администраторов в домене. По умолчанию группа
«Администраторы домена» данного домена входит в состав группы «Администраторы» в этом же домене. Windows 2000 не помещает автоматически учетные записи в эту группу, но если необходимо присвоить учетной записи широкие административные полномочия в домене,
можно включить данную учетную запись в группу «Администраторы домена».

Гости домена - список всех гостей в домене. По умолчанию группа «Гости домена» является членом группы «Гости» в этом же домене и автоматически включает в себя стандартную учетную запись домена «Гость».

Пользователи домена - список всех пользователей в домене. По умолчанию любая учетная запись пользователя, созданная в домене, автоматически добавляется в группу «Пользователи домена», а группа «Пользователи домена» входит в состав группы «Пользователи» в этом же домене. Можно использовать группу «Пользователи домена» для обозначения всех учетных записей, созданных в домене.

Администраторы предприятия - список администраторов, имеющих права на весь лес (то есть, все домены, входящие в него).

Администраторы схемы - список администраторов, имеющих право внесения изменений в схему (структуру базы данных Active Directory).
Данные встроенные глобальные группы используются для объединения в группы различных видов учетных записей пользователей (обыкновенных пользователей, администраторов, гостей). Эти группы могут входить в состав групп с областью действия в пределах домена, в данном и других доменах.
Создание группы
1.
Откройте инструмент "Active Directory — пользователи и компьютеры".
2.
В дереве консоли дважды щелкните узел домена.
3.
Щелкните правой кнопкой папку, в которую необходимо добавить группу, выберите Создать,
Группа.
4.
Введите имя создаваемой группы. По умолчанию это имя также вводится как пред-Windows
2000 имя новой группы.
5.
Выберите Область действия группы - локальная или глобальная и Тип группы - безопасности или распространения.

Изменение свойств группы
Основная закладка в свойствах группы - Члены группы. Здесь можно менять состав участников этой группы. Закладка Член групп показывает для глобальных групп, в какие локальные группы они включены.

Упражнение 6.Б: "Создание и
изменение учетных записей
групп в домене"
Краткое описание
В этом упражнении Вы научитесь создавать учетные записи локальных и глобальных групп в домене,
и добавлять в них пользователей.
Предварительные требования к выполнению
упражнения
Вы должны самостоятельно установить Windows 2000 Server и Аctive Directory, чтобы выполнить эту и последующие работы в теме 6. Предполагается, что навыки установки сервера и Аctive Directory Вы получили в результате прослушивания очных курсов. Кроме того, необходимо выполнить упражнение
6.А.
Порядок выполнения упражнения
1.
Войдите в домен под учетной записью пользователя, имеющего права администратора домена.
2.
Последовательно выберите Пуск, Программы, Администрирование, Active Directory -
пользователи и компьютеры
3.
Правой кнопкой щелкните на папке Users и выберите Создать, Группа.
4.
В поле Имя группы введите Региональные администраторы, выберите Область действия
группы - глобальная. Нажмите ОК для создания группы.
5.
Правой кнопкой щелкните на учетной записи Василий Пупкин и нажмите Добавить
участников в группу....
6.
Выберите группу Региональные администраторы и нажмите ОК для добавления пользователя, потом еще раз ОК для подтверждения операции.
7.
Щелкните на контейнер Builtin, выберите группу Операторы учета. Щелкните на ней правой кнопкой, выберите Свойства.
8.
На закладке Члены групп нажмите Добавить..., выберите группу Региональные
администраторы и нажмите ОК. Нажмите ОК, чтобы сохранить изменения.

Занятие 3: "Управление
учетными записями
компьютеров"
Каждый компьютер, работающий под управлением Windows XP, Windows 2000 или Windows NT,
который присоединяется к домену, имеет учетную запись. Она, как и учетная запись пользователя,
делает возможной проверку подлинности и аудит доступа компьютера к сети, а также доступ к ресурсам домена. Каждый подключенный к сети компьютер должен иметь собственную уникальную учетную запись. Эти записи создаются с помощью инструмента "Active Directory - пользователи и компьютеры".
Компьютеры под управлением Windows 98 и Windows 95 не имеют дополнительных функций безопасности, предоставляемых Windows 2000 и Windows NT, для них не создаются учетные записи компьютеров в доменах Windows 2000. Однако компьютеры под управлением Windows 98 и Windows
95 могут входить в сеть и работать в доменах Active Directory.
Создание учетной записи компьютера
Учетная запись компьютера создается автоматически во время подсоединения компьютера к домену
(только для Windows XP/2000/NT 4.0). Можно создать учетную запись компьютера и до подключения компьютера к домену, тогда для подключения компьютера пользователю будет достаточно иметь права локального администратора на этот компьютер, а не администратора домена, как в первом случае.
Чтобы создать учетную запись компьютера, запустите инструмент "Active Directory - пользователи и компьютеры", щелкните правой кнопкой мыши на организационное подразделение (рекомендуется стандартный контейнер "Computers"), где будет создана учетная запись, выберите Создать, Компьютер
и введите имя компьютера (не более 15 символов). Кроме того, можно выбрать пользователей,
обладающих правом подключения компьютера к данному домену. С помощью этой функции администратор может создать учетную запись компьютера и списки пользователей, обладающих ограниченными правами по установке компьютера и подключению его к домену.

Управление компьютером
Теперь, после создания учетной записи компьютера, можно осуществлять удаленное управление этим компьютером: проводить диагностику служб, работающих на этом компьютере, осуществлять просмотр событий и т.д. Для этого используется инструмент "Управление компьютером": щелкните учетную запись компьютера правой кнопкой мыши и выберите команду Управление.
Отключение учетной записи компьютера
Компьютер, который больше не используется в домене, необходимо отключить. Эта операция прекращает его подключение к домену и он не сможет проходить проверку подлинности в домене,
пока учетная запись не будет включена.
Чтобы отключить учетную запись компьютера, запустите инструмент "Active Directory - пользователи и компьютеры", щелкните правой кнопкой мыши на компьютер и выберите Отключить учетную
запись. Отключенный компьютер показывается в инструменте "Active Directory - пользователи и компьютеры" с красным кружком и белым крестом на нем:

Занятие 4: "Основы настройки
политики безопасности"
Настройки безопасности определяют поведение системы, имеющее отношение к безопасности.
Используя объекты групповой политики в Active Directory, администраторы могут централизованно настраивать уровни безопасности, необходимые для защиты системы предприятия.
При определении параметров для объектов групповой политики, содержащих несколько компьютеров, необходимо учитывать организационный и функциональный характер данного домена или подразделения. Например, уровень безопасности подразделения, включающего компьютеры отдела кадров, будут существенно отличаться от уровня безопасности подразделения компьютеров бухгалтерии.
Для домена Active Directory основные настройки политик безопасности выполняются на двух уровнях:
политики учетных записей - для всего домена ("Политика безопасности домена"), права пользователей и дополнительные настройки определяются для контроллеров домена ("Политика безопасности контроллера домена").
Настройка политики безопасности на уровне
всего домена
Для домена настройка политики безопасности выполняется с помощью инструмента "Политика безопасности домена". Основные настройки, которые необходимо понимать на этом уровне - это политика для паролей и политика блокировки учетных записей.
Политика для паролей
Обычно пароли - одно из слабых мест в системе безопасности компьютера. Очень важно использовать надежные пароли, поскольку программные средства и компьютеры, используемые для взлома паролей, продолжают улучшаться и становятся все более мощными.
Программное обеспечение для взлома паролей использует подбор вариантов по словарю или автоматический перебор всех возможных комбинаций символов. Имея достаточно времени, методом автоматического перебора можно взломать любой пароль. Однако для взлома надежного пароля требуются месяцы и годы.
Высокий уровень безопасности компьютеров в домене предполагает использование надежных паролей для входа в сеть и учетной записи администратора в домене и на локальных компьютерах.
Рекомендуется устанавливать следующие требования к паролям:

Длина пароля должна быть не менее восьми символов (параметр Мин. длина пароля).

Пароль должен содержать символы каждой из трех следующих групп - буквы (прописные и строчные), цифры, прочие символы (параметр Пароли должны отвечать требованиям
сложности). Бывает трудно приучить пользователей использовать сложные пароли, поэтому обычной практикой является не принуждение к таким паролям, а рекомендация к их использованию. Поэтому обычно параметр Пароли должны отвечать требованиям
сложности оставляют в положении Отключен.

Пароль должен cущественно отличаться от предыдущих паролей. Можно хранить историю
паролей и с помощью параметра Требовать неповторяемости паролей контролировать ее.
При включении этого параметра пользователь не сможет использовать свой предыдущий пароль второй раз.

Пароль необходимо менять каждые 60-90 дней (параметр Макс. срок действия пароля).

Кроме максимального срока действия, рекомендуется устанавливать параметр Мин. срок
действия пароля. Это необходимо, чтобы пользователь не мог в один день сменить подряд несколько паролей и вернуться к старому.

Пароль не должен содержать личного имени или имени пользователя, а также не являться распространенным словом или именем. Это не контролируется средствами Windows 2000,
однако стоит довести это требование до пользователей в виде приказа или инструкции.
Политика блокировки учетных записей
Блокировка учетной записи позволяет задать определенное число попыток удаленного доступа с данной учетной записью, не проходящих проверку подлинности, после которого доступ пользователю с блокированной учетной записью будет запрещен. Злоумышленники могут пытаться получить доступ к сети путем перебора возможных паролей (т.н. словарная атака). Для этого "пользователь" посылает сотни и тысячи различных учетных данных, используя список паролей, основанных на общеупотребимых словах или фразах.
Если блокировка учетной записи включена, попытки доступа путем перебора известных слов будут пресекаться после определенного количества неудачных попыток. Сетевой администратор должен определить значения двух переменных, используемых при блокировке учетных записей.
1.
Число неудачных попыток, после которого все дальнейшие попытки будут отклоняться - параметр Пороговое значение блокировки.
После каждой неудачной попытки доступа увеличивается значение счетчика неудачных попыток учетной записи пользователя. Если значение счетчика неудачных попыток с данной учетной записью пользователя достигает заданного максимума, последующие попытки доступа будут отклоняться.
Попытка доступа, успешно прошедшая проверку подлинности, сбрасывает счетчик неудачных попыток, если его значение меньше заданного максимума. Другими словами, счетчик неудачных попыток доступа после успешной попытки доступа начинает накапливать неудачные попытки заново.

2.
Частоту сброса счетчика неудачных попыток определяет параметр Сброс счетчика неудачных
попыток.
Для того чтобы предотвратить длительную блокировку учетных записей, вызванную обычной невнимательностью пользователей при вводе паролей, необходимо периодически сбрасывать счетчик неудачных попыток.
3.
Время блокировки учетных записей определяет параметр Блокировка учетных записей на.
Этот параметр задается, чтобы блокировка автоматически снималась через указанный промежуток времени. Иначе администратор должен будет зайти в свойства учетной записи пользователя с помощью инструмента "Active Directory - пользователи и компьютеры" и снять флажок Заблокировать учетную запись.
Настройка политик безопасности на уровне
контроллеров домена
Для контроллеров домена настройка политики безопасности выполняется с помощью инструмента "Политика безопасности контроллера домена".
Ключевой момент при настройке безопасности на уровне контроллеров домена - правильно назначенные привилегии пользователей. Администраторы могут назначать привилегии учетным записям групп или отдельных пользователей. Эти привилегии позволяют пользователям выполнять конкретные действия, такие как интерактивный вход в систему или архивирование файлов и каталогов. Привилегии пользователей отличаются от разрешений тем, что применяются к учетным записям пользователей, а не к объектам. Основные привилегии перечислены и описаны в следующей таблице:
Привилегия
Описание

Архивирование файлов и каталогов
Эта привилегия позволяет пользователю избежать действия разрешений файлов и каталогов для архивирования системы. Эта привилегия равнозначна назначению следующих разрешений для всех файлов и папок во всем домене: «Обзор папок / Выполнение файлов», «Содержание папки
/ Чтение данных», «Чтение атрибутов», «Чтение дополнительных атрибутов» и «Чтение разрешений». Эту привилегию должна иметь только группа "Администраторы".
Изменение системного времени
Пользователь получает возможность устанавливать время на системных часах контроллеров домена. Эту привилегию должна иметь только группа "Администраторы".
Принудительное удаленное завершение
Пользователь получает возможность завершать работу контроллеров домена удаленно по сети.
Эту привилегию должна иметь только группа "Администраторы".
Загрузка и выгрузка драйверов устройств
Пользователь получает возможность устанавливать и удалять драйверы самонастраиваемых устройств. Эта привилегия не влияет на драйверы устройств, не являющихся самонастраиваемыми, и эти драйверы могут быть только установлены. Поскольку драйверы устройств выполняются как доверенные (с более высоким приоритетом) программы, эта привилегия может быть неправильно использована для установки опасных программ,
способных повредить систему, и предоставления этим программам доступа к ресурсам. Эту привилегию должна иметь только группа "Администраторы".
Восстановление файлов и каталогов
Пользователь получает возможность восстанавливать заархивированные файлы и каталоги, несмотря на их разрешения, а также назначать любого допустимого участника безопасности владельцем объекта. Эту привилегию должна иметь только группа "Администраторы".
Завершение работы системы
Пользователь получает возможность завершать работу операционной системы на локальном компьютере. Эту привилегию должна иметь только группа "Администраторы".
Овладение файлами или иными объектами
Пользователь получает возможность становиться владельцем любых объектов безопасности системы, включая объекты Active Directory, файлы и папки, принтеры, разделы реестра, процессы и потоки. Эту привилегию должна иметь только группа "Администраторы", иначе пользователям будет открыт доступ ко всем объектам, вне зависимости от разрешений.

Доступ к компьютеру из сети
Пользователю разрешен доступ при обращении к контроллеру домена по сети. По умолчанию доступ разрешен всем и менять этот параметр не рекомендуется.
Локальный вход в систему
Пользователю разрешен локальный вход на контроллер домена. Локальным входом считается вход с консоли сервера и вход через службу терминалов. По умолчанию он не разрешен обычным пользователям.

Упражнение 6.В: "Настройка
политики безопасности для
домена"
Краткое описание
В этом упражнении Вы научитесь настраивать политику для паролей и политику блокировки учетных записей на домен
Предварительные требования к выполнению
упражнения
Вы должны самостоятельно установить Windows 2000 Server и Аctive Directory, чтобы выполнить эту работу. Предполагается, что навыки установки сервера и Аctive Directory Вы получили в результате прослушивания очных курсов. Кроме того, необходимо выполнить упражнение 6.А.
Порядок выполнения упражнения
1.
Войдите в домен под учетной записью пользователя, имеющего права администратора домена.
2.
Последовательно выберите Пуск, Программы, Администрирование, Политика безопасности
домена
3.
Щелкните последовательно на Параметры безопасности, Политики учетных записей,
Политика паролей.
4.
Установите значение параметра Мин. длина пароля в 8, параметра Мин. срок действия
пароля - в 5, параметра Макс. срок действия пароля - в 60.
5.
Установите для параметра Требовать неповторяемости паролей значение 12 хранимых
паролей.
6.
Перейдите на закладку Политика блокировки учетных записей
7.
Установите для параметра Пороговое значение блокировки значение 5 ошибок входа в
систему и нажмите ОК в окне Предлагаемые изменения значений, чтобы установить временные интервалы блокировки по умолчанию - 30 минут.
8.
Закройте окно Политика безопасности домена и завершите сеанс текущего пользователя.
9.
Используя учетную запись vpupkin, попробуйте 5 раз подряд войти в домен, вводя неправильный пароль, а затем введите правильный. Убедитесь, что система уже не дает войти данному пользователю.
10.
Войдите в домен под учетной записью admin c паролем adminpassword.
11.
Последовательно выберите Пуск, Программы, Администрирование, Active Directory -
пользователи и компьютеры
12.
Правой кнопкой щелкните на учетной записи Василий Пупкин и нажмите Свойства.
13.
Убедитесь, что на закладке Учетная запись установлен флажок Заблокировать учетную
запись. Снимите этот флажок и нажмите ОК.

Занятие 5: "Перемещения
ролей хозяев операций"
Перемещение ролей хозяев операций на уровне
всего леса
Каждый лес Active Directory должен содержать следующие роли.

Хозяин схемы

Хозяин именования домена
Перемещение роли хозяина схемы
Чтобы передать роль хозяина схемы, выполните следующие операции:
1.
Откройте инструмент "Схема Active Directory".
2.
В дереве консоли щелкните правой кнопкой мыши компонент Схема Active Directory и выберите команду Изменение контроллера домена.
3.
Выберите режим Любой контроллер, чтобы служба Active Directory выбрала нового хозяина схемы, или выберите переключатель Укажите имя и введите имя компьютера для нового мастера схемы.
4.
В дереве консоли щелкните правой кнопкой мыши компонент Схема Active Directory и выберите команду Хозяин операций.
5.
Нажмите Сменить.
Если схема Active Directory недоступна, необходимо установить средства администрирования
Windows 2000 с компакт-диска Windows 2000 Server (файл adminpak.msi).

Перемещение роли хозяина именования домена
Чтобы передать роль хозяина именования домена, выполните следующие операции:
1.
Откройте инструмент "Active Directory - домены и доверие".
2.
В дереве консоли щелкните правой кнопкой контроллер домена, который будет новым хозяином именования домена, и выберите команду Подключить к домену.
3.
Введите имя домена или нажмите кнопку Обзор и выберите домен из списка.
4.
В дереве консоли щелкните правой кнопкой компонент Active Directory - домены и доверие и выберите команду Хозяин операций.
5.
Нажмите Изменить.
Перемещение ролей хозяев операций на уровне
домена
На уровне домена существуют три роли хозяина операций:

Хозяин относительных идентификаторов

Эмулятор основного контроллера домена

Хозяин инфраструктуры
Для перемещения всех трех ролей используется инструмент "Active Directory — пользователи и компьютеры". Перемещение роли можно осуществить, только если существующий хозяин операций доступен по сети, иначе необходимо выполнять процедуру присвоения роли.
Чтобы передать роли, выполните следующие операции:
1.
В дереве консоли щелкните правой кнопкой контроллер домена, который будет новым хозяином инфраструктуры, и выберите команду Подключить к домену.
2.
Введите имя домена или нажмите кнопку Обзор и выберите домен из списка.
3.
В дереве консоли щелкните правой кнопкой компонент Active Directory — пользователи и
компьютеры и выберите команду Хозяева операций.
4.
Выберите закладку PDC для перемещения роли эмулятора основного контроллера домена,
закладку RID для роли хозяина относительных идентификаторов или закладку
Инфраструктура для роли хозяина инфраструктуры.

5.
Нажмите Изменить.
Присвоение ролей хозяев
операций
Если сервер, выполняющий роль хозяина операций, в настоящий момент недоступен, то перемещение роли невозможно. В этом случае можно использовать присвоение роли. Присвоение роли - радикальный метод, который должен применяться только в случае невозможности восстановления текущего хозяина операций.
Чтобы выполнить операцию присвоения роли серверу, выполните следующие операции:
1.
Нажмите Пуск, выберите команду Выполнить и введите cmd.
2.
В командной строке введите:ntdsutil.
3.
В командной строке ntdsutil введите roles.
4.
В командной строке fsmo maintenance введите connections.
5.
В командной строке server connections введите connect to server, затем введите полное имя узла.
6.
В командной строке server connections введите quit.
7.
В командной строке fsmo maintenance в зависимости от того, какую роль надо присвоить,
введите: o
Для роли хозяина схемы - seize schema master
o
Для роли хозяина именования домена - seize domain naming master
o
Для роли хозяина относительных идентификаторов - seize RID master
o
Для роли эмулятора основного контроллера домена - seize PDC
o
Для роли хозяина инфраструктуры - seize infrastructure master
8.
В командной строке fsmo maintenance введите quit.
9.
В командной строке ntdsutil введите quit.

Немного в завершение курса
Итак, Вы открыли последнюю страницу этого курса. Он не всеобъемлющ, а содержит только базовый набор знаний по Windows 2000, требующий самостоятельной работы для полного освоения. Этот дистанционный курс разработан как дополнение к очным курсам, но не заменяет их. Выражаем надежду, что курс Вам понравился. Замечания и предложения присылайте по адресу educ@microinform.ru с темой "Дистанционный курс по Windows 2000".
Разработчик курса: преподаватель учебного центра "МИКРОИНФОРМ" Дмитрий Литвинов.
Учебный центр "МИКРОИНФОРМ"
На протяжении 15 лет МИКРОИНФОРМ признается специалистами лучшим российским учебным центром в области авторизованного обучения, первые авторизованные компанией Microsoft курсы по
Windows NT прошли в 1994 году. По всем критериям МИКРОИНФОРМ - авторитетный, элитный учебный центр, обучение в котором является не только эффективным, но и престижным.
Подробнее о компании и проводимых курсах можно узнать на веб-сайте: www.microinform.ru

Кратко о нововведениях в
Windows Server 2003
Windows Server 2003 основана на технологиях, использованных в Windows 2000 Server. Это надежная и экономичная серверная операционная система. Ниже приведены основные изменения в Windows
Server 2003 по сравнению с Windows 2000:

Усовершенствования службы Active Directory
В Windows Server 2003 появился целый ряд усовершенствований и новых возможностей:
настройка доверия между лесами, возможность переименовывания доменов, улучшенные средства миграции с предыдущих версий служб каталогов, копирование данных репликации с компакт-диска или другого носителя как решение для установки контроллеров домена в удаленных офисах.

Консоль «Управление групповой политикой»
Администраторы могут использовать групповую политику для настройки параметров и определения действий пользователей и компьютеров. Управление на основе политик упрощает обновление системы, установку приложений и профилей пользователей, обеспечение требуемого уровня безопасности на рабочих станциях.
Устанавливаемая как дополнительный компонент Windows Server 2003, консоль «Управление групповой политикой» (GPMC) предлагает новые возможности для централизованного управления компьютерами и пользователями: определение и анализ текущего набора политик,
резервное копирование и восстановление, удаление, создание и перемещение.

Службы теневого копирования
Службы теневого копирования тома (VSS), иногда называемые «снимками», предоставляют инфраструктуру для создания копий одного или нескольких томов через определенные промежутки времени без прерывания работы служб. Эти копии впоследствии можно использовать для восстановления службы или архивирования. Пользователи могут получить архивные версии своих документов, которые, будучи невидимыми, хранятся на сервере.

Internet Information Services 6.0
Служба Internet Information Services (IIS) 6.0 - полнофункциональный веб-сервер, который позволяет использовать веб-приложения и веб-службы XML. IIS 6.0 полностью переработан на основе новой отказоустойчивой модели, которая значительно повышает надежность веб-узлов и веб-приложений.
IIS также обеспечивает возможность наблюдения за состоянием веб-приложений:
обнаружение неполадок, предотвращение сбоев и восстановление работы приложений. В
Windows Server 2003 и Microsoft ASP.NET изначально применяется новая модель обработки для служб IIS. Эти расширенные возможности по наблюдению за состоянием приложений также доступны для работающих в среде Internet Information Server 4.0 и 5.0 приложений без дополнительной модификации.

Сервер электронной почты (POP3, SMTP)
Служба протокола POP3 (Post Office Protocol 3) обеспечивает передачу и получение электронной почты, а также управление учетными записями на почтовом сервере. Служба
SMTP (Simple Mail Transfer Protocol) выполняет передачу сообщений электронной почты между серверами.


Интегрированное средство .NET Framework
Средство Microsoft .NET Framework является программной моделью приложений и технологий
Microsoft .NET-connected. Оно используется для разработки, внедрения и выполнения веб-приложений и веб-служб XML, доступ к функциям которых осуществляется с помощью таких протоколов как SOAP, XML и HTTP. Полностью интегрированная в ОС Windows Server
2003 .NET Framework берет на себя заботу об интеграции и управлении, освобождая разработчиков от написания громоздкого кода.

Управление с помощью командной строки
В семействе продуктов Windows Server 2003 значительно усовершенствована инфраструктура командной строки, что позволяет администраторам выполнять большинство задач управления без использования графического интерфейса. Не менее важна возможность выполнять большое количество задач за счет доступа к хранилищам данных с помощью инструментария управления
Windows (WMI) и командной строки WMI (WMIC).

Поддержка кластеров из восьми узлов
Эта служба, имеющаяся только в Windows Server 2003 Enterprise Edition и Windows Server 2003
Datacenter Edition, обеспечивает высокую доступность и масштабируемость важных приложений, таких как базы данных, системы обмена данными, а также файловые службы и службы печати. Поддержка кластеров осуществляется за счет постоянного подключения к друг другу нескольких серверов (узлов). Если один из узлов кластера в результате сбоя или ремонтных работ становится недоступным, другой узел немедленно приступает к обслуживанию (этот процесс называется перемещением при сбое). Пользователи, которые получают доступ к определенной службе, продолжают работать, не подозревая, что она поддерживается уже с другого сервера (узла).
В Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition поддерживаются кластеры, включающие до восьми узлов.

Безопасные беспроводные локальные сети (802.1x)
С появлением в семействе продуктов Windows Server 2003 поддержки стандарта 802.1x компании могут использовать безопасную модель доступа, которая гарантирует проверку подлинности и шифрование данных для всех подключений к сети. Использование оборудования точек доступа и маршрутизаторов стандарта 802.1X позволяет проверять подлинность всех подключающихся систем и обмениваться данными с защищенными сетями.
Поскольку в беспроводных сетях стандарта 802.1X используется динамическое определение ключей, шифрование данных в них значительно более надежно, чем аналогичные операции с использованием ключей WEP в сетях IEEE 802.11.

Службы аварийного управления: поддержка сервера без монитора
Эта функция позволяет администраторам устанавливать ПО и управлять компьютером без использования монитора, видеоадаптера, клавиатуры и мыши. Новые службы аварийного управления помогают выполнять удаленное управление и восстановление системы даже в тех случаях, когда недоступны другие стандартные средства и механизмы удаленного администрирования.

Document Outline

  • Администрирование Windows 2000
    • Предисловие
    • 1. Семейство операционных систем Windows 2000. Установка Windows 2000.
      • 1.1. Семейство операционных систем Windows 2000
      • 1.2. Требования к аппаратным и системным ресурсам
      • 1.3. Подготовка к установке Windows 2000
      • 1.4. Процедура установки Windows 2000 Professional
      • 1.А. Упражнение А. Установка Windows 2000 Professional
    • 2. Основные инструменты администратора Windows 2000
      • 2.1. Управление пользователями и группами
      • 2.А. Упражнение А. Создание локальных пользователей и групп
      • 2.2. Управление печатью
      • 2.3. Настройка доступа к ресурсам
      • 2.Б. Упражнение Б. Предоставление пользователям доступа к ресурсам
      • 2.4. Наблюдение за работой сети
      • 2.В. Упражнение В. Наблюдение за рабочей станцией.
      • 2.5. Архивирование и восстановление данных
      • 2.6. Обслуживание жестких дисков
      • 2.Г. Упражнение Г. Обслуживание жестких дисков
      • 2.7. Автоматизация задач
      • 2.Д. Упражнение Д. Автоматизация резервного копирования
    • 3. Протокол TCP/IP: основы адресации
      • 3.1. Компоненты IP-адреса
      • 3.2. Классовый метод адресации
      • 3.А. Упражнение А. Определение класса адресов и масок подсетей
      • 3.3. Бесклассовый метод адресации
      • 3.Б. Упражнение Б. Определение локального и удаленного узла назначения
      • 3.В. Упражнение В. Преобразование десятичных чисел в двоичные и обратно
      • 3.4. Назначение IP-адресов в Windows 2000
      • 3.Г. Упражнение Г. Настройка статического IP-адреса
      • 3.5. Диагностика проблем при настройке IP-адресов и их решение
    • 4. Службы DNS и DHCP
      • 4.1. Автоматическое назначение IP-адресов с помощью службы DHCP
      • 4.2. Реализация службы DHCP в Windows 2000
      • 4.А. Упражнение А. Установка и настройка службы DHCP
      • 4.3. Разрешение имен
      • 4.4. Служба доменных имен DNS
      • 4.5. Реализация службы DNS в Windows 2000
      • 4.Б. Упражнение Б. Установка и настройка службы DNS
    • 5. Структура Active Directory
      • 5.1. Служба каталогов Active Directory
      • 5.2. Основные понятия
      • 5.3. Интеграция Active Directory со службой DNS
      • 5.4. Роли хозяев операций
    • 6. Администрирование Active Directory
      • 6.1. Управление учетными записями пользователей
      • 6.А. Упражнение А. Создание и изменение учетных записей пользователей домена
      • 6.2. Управление учетными записями групп
      • 6.Б. Упражнение Б. Создание и изменение учетных записей групп в домене
      • 6.3. Управление учетными записями компьютеров
      • 6.4. Основы настройки политики безопасности
      • 6.В. Упражнение В. Настройка политики безопасности для домена
      • 6.5. Перемещения ролей хозяев операций
    • Заключение
    • Приложение A. Кратко о нововведениях в Windows Server 2003
  • Вернуться на сайт



Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   10


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал