ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.06.2024
Просмотров: 18
Скачиваний: 0
Тема 1.5 Робота з об'єктами Active Directory.
Мета: ознайомити з підрозділами, користувачами та групами Active Directory, поняттям та призначенням групових політик.
Перелік питань для вивчення.
1.Механізм «Користувачі та комп'ютери» Active Directory.
2.Підрозділи.
3.Обліковий запис користувача.
4.Групи.
5.Групові політики Active Directory.
1. Механізм «Користувачі та комп'ютери» Active Directory.
Active Directory – найпотужніший механізм керування локальною мережею. Саме він дозволяє контролювати всі процеси, які відбуваються в локальній мережі.
Для входження мережевих користувачів в домен необхідно створити структуру облікових записів. Для цього використовується механізм «Active Directory – користу-
вачі та комп'ютери».
Головний ключовий об'єкт цього механізму – Користувач.
Користувачі можуть входити до складу Груп або Підрозділів. Це дозволяє гнучкіше керувати обліковими записами, застосовуючи групові політики.
Крім того, існують об'єкти, які описують комп'ютери користувачів, загальні ре-
сурси та ін.
Для налаштування механізму «Active Directory – користувачі та комп'юте-
ри» необхідно в головному меню вибрати пункт «Адміністрування» та скористатися одно-
йменним значком.
Зовнішній вигляд вікна «Active Directory – користувачі та комп'ютери» по-
казаний на рисунку 1.5.1
Рис. 1.5.1 Зовнішній вигляд вікна Active Directory – користувачі та комп'ютери.
У лівій частині вікна відображається деревовидна структура з назвами основних об’єк-
тів, зокрема, ім'я контроллера домену.
Якщо розкрити вітку з назвою домена, ми побачимо наступні об'єкти: Комп’ютери,
Контроллери домену, Користувачі та інші.
2. Підрозділи.
При створенні об'єктів Active Directory використовується структурований підхід,
який дозволяє швидко знайти та дістати до них доступ. Зокрема, в кореневій вітці можна ство-
рити об’єкти, які називаються Підрозділами.
Підрозділи – це контейнери, які містять багато об’єктів. В назвах підрозділів
можна використовувати імена відділів компанії, це дозволяє легко визначити зміст контейнера.
Для створення підрозділу клацніть правою кнопкою миші по назві домену та виберіть пункти «Створити – Підрозділ». Відкриється вікно, показане на рисунку 1.5.2
Рис. 1.5.2 Створення нового підрозділу.
В цьому вікні необхідно ввести назву підрозділу, наприклад Бухгалтерія.
Тут також є прапорець «Захистити контейнер від випадкового знищення», при установці якого видалення підрозділу буде неможливим без надання відповідних повноважень. Це дозволяє захистити підрозділ від випадкового знищення. Щоб відмінити захист, потрібно в Active Directory у меню «Вигляд» включити «Додаткові компоненти», а потім у вікні властивостей підрозділу перейти на вкладку «Об'єкт» і відключити захист.
Після натиснення кнопки «ОК» підрозділ з ім'ям Бухгалтерія буде створений в коре-
невій вітці.
Подальші дії, пов'язані з даним підрозділом, виконуються за допомогою контекстного меню цього рядка.
Так само можна створити будь-яку кількість підрозділів, необхідну для організації структурованої системи керування.
3. Обліковий запис користувача.
За допомогою облікового запису, який знаходиться на контроллері домену, мере-
жевий користувач може підключатися до сервера з будь-якого або зі спеціально виділеного для нього комп'ютера локальної мережі.
На етапі авторизації він отримує необхідні права доступу до ресурсів мережі. Це дозволяє
чітко обмежити та контролювати їх використання.
Розглянемо створення облікових записів користувачів всередині Підрозділу.
Відкриємо контекстне меню потрібного підрозділу та виберемо пункти «Створити – Користувач». Відкриється наступне вікно (рис. 1.5.3).
Рис. 1.5.3 Основні параметри облікового запису користувача.
Створення облікового запису користувача складається з двох етапів. Спочатку потрібно ввести ім'я, прізвище та ім'я входу користувача.
Поле «Повне ім'я» формується автоматично шляхом додавання значень полів «Ім'я»
та «Прізвище».
Ім’я входу користувача може співпадати з повним ім'ям, а може бути й іншим.
Для полегшення ідентифікації в поле «Ім'я» можна занести прізвища користувачів або прізвища з ініціалами.
Наступний етап – введення пароля доступу та задання додаткових параметрів
(рис. 1.5.4).
Рис. 1.5.4 Введення пароля доступу та задання додаткових параметрів
Введення пароля відбувається згідно існуючим правилам безпеки, тому вказати дуже короткий або простий пароль не вдасться.
Політику паролів можна змінити, але при цьому зменшується рівень безпеки.
На даному етапі можна також задати деякі додаткові параметри для облікового запису користувача.
Часто використовують параметр «Вимагати зміни пароля при наступному вході в систему». Даний параметр змушує користувача змінити свій пароль при вході в локальну мережу. Цей спосіб використовують, якщо користувачзабув свій пароль входу.
Крім того, тут можна застосувати наступні параметри:
¾заборонити зміну пароля користувачем. Користувач у будь-який момент може зміни-
ти свій поточний пароль, натиснувши комбінацію клавіш Ctrl, Alt, Delete. Даний параметр відключає цю можливість;
¾термін дії пароля не обмежений. За замовчуванням користувач може використовувати пароль протягом деякого обмеженого терміну, наприклад 30 днів. Після цього він повинен змінити пароль, інакше робота в локальній мережі буде неможлива. Даний параметр відклю-
чає необхідність зміни пароля;
¾відключити обліковий запис. Цей параметр використовується для тимчасової або по-
стійної заборони на застосування даного облікового запису.
Після необхідних налаштувань і натиснення кнопки «Далі» з'явиться результуюче вікно, яке містить інформацію про вказані параметри.
Якщо вони нас задовольняють, натискаємо кнопку «Готово» для створення облікового запису.
Так само створюється необхідна кількість облікових записів користувачів для
кожного підрозділу.
Після створення облікового запису можна виконати його детальне налаштування. Для цього необхідно двічі клацнути на потрібному записі або з контекстного меню вибрати пункт
«Властивості».
В результаті відкриється вікно (рис. 1.5.5) з багатьма вкладками, які містять різноманітні параметри.
Практично всі параметрина цих вкладках мають описовий характер.
Але деякі параметри можуть розширити можливості облікового запису.
Наприклад, для зберігання особистих даних користувача на сервері необхідно створити його домашню папку. Для цього в параметрі «Підключити» необхідно вказати шлях до папки
на сервері та ім’я мережевого диску(рис. 1.5.5).
Можна змінювати також інші важливі параметри, наприклад членство в групах,
віддалене керування, комп'ютери для входу, час роботи в мережіта багато іншого.
4. Групи.
Використання груп дозволяє швидко надати необхідні права доступу до ресурсів ло-
кальної мережі.
Особливо це зручно, коли потрібно надати права доступу багатьом користувачам або
іншим групам. Адже, налаштування доступу для кожного окремого користувача потребує багато часу.
Найчастіше групистворюють у складі підрозділів.
Наприклад, потрібно створити групупрограмістів у складі підрозділу 110-і.
В контекстному меню підрозділу110-і вибираємо пункти «Створити – Група».
Рис. 1.5.5 Детальне налаштування облікового запису користувача
Відкриється вікно створення нової групи(рис. 1.5.6).
Рис. 1.5.6 Створення нової групи
В цьому вікні потрібно ввести ім'я групи, вибрати її типі область дії.
Тип групи визначає права доступу її учасників до певних ресурсів:
¾група безпеки - користувачі мають доступ до мережевих ресурсів;
¾група поширення - користувачі мають доступ до розсилки електронної пошти.
Область дії групи визначає спосіб доступу її учасників до ресурсів:
¾локальна в домені- надає доступ учасникам групи до ресурсів свого домену;
¾глобальнаабо універсальна- надає доступучасникам групидоресурсівінших доменів.
Після створення групи її можна заповнювати обліковими записами користувачів та іншими об'єктами.
Для цього у вікні властивостей групи перейдіть на вкладку «Члени групи» та натисніть
кнопку «Додати».
Вибір потрібних об'єктів відбувається в поточному домені.
Облікові записи можна вводити вручну, набираючи їх через крапку, або автоматично,
натиснувши кнопку «Додатково».
Автоматичний спосіб введення кращий, він дозволяє вибрати відразу декілька різних
об'єктів. При цьому виключена можливість граматичних помилок у написанні.
Після натиснення кнопки «Пошук» в нижній частині вікна з'являється список всіх зареєстрованих об'єктів (рис. 1.5.7).
Рис. 1.5.7 Вибір потрібних об'єктів
Можливий як одиночний вибір потрібного запису, так і вибір декількох записів за допо-
могою натисненої клавіші «Ctrl».
Після натиснення кнопки «OK» всі вибрані записи опиняться в попередньому вікні. Після повторного натиснення кнопки «OK» вони потраплять у список членів групи.
5. Групові політики Active Directory
Зі збільшенням кількості комп'ютерів в мережі системний адміністратор витрачає більше часу на їх обслуговування.
Установка Active Directory - тільки першийкрок на шляху спрощеннякерування мережею. Одна з можливостей, яку надає Active Directory - це підтримка групових політик.
Групова політика - це набір правил для централізованого налаштування операційних систем та програмного забезпечення на робочих станціях і серверах домену.
Правила об'єднуються в об'єкти групової політики (Group Policy Object, GPO).
Системний адміністратор зв'язує групові політики з тими об’єктами Active Directory, до налаштувань яких вони будуть застосовані – доменами та підрозділами.
Групові політики дозволяють конфігурувати велику кількість параметрів Windows:
¾налаштування безпеки;
¾профілі та програми користувачів;
¾дискові квоти;
¾політика паролів;
¾робочий стіл;
¾централізована установка програм на комп'ютери користувачів;
¾керування функціями електроживлення комп’ютерів;
¾керування обліковими записами користувачів;
¾обмеження доступу до DVD-пристроїв та флеш-карт;
¾налаштування автозапуску DVD-дисків та флеш-карт;
¾автоматичне підключення мережевого принтера;
¾налаштування брандмауера Windows.
Система групових політик поставляється разом з Active Directory в серверних операційних системах, починаючи з Windows Server 2000.
Для максимальної підтримки групових політик клієнтська та серверна операційні системи повинні бути одного випуску, наприклад, Windows Server 2008 R2 та Windows 7.
Кожен комп'ютер під керуванням Windows вже має вбудований об'єкт групової політики, який зберігається локально в наступній папці:
\Windows\System32\GroupPolicy
Його можна переглянути за допомогою редактора локальної групової політики
(gpedit.msc). Це єдиний GPO, який може бути на комп'ютері, що не входить в домен. Після переходу на Active Directory з'являються дві доменні політики:
¾політика домену за замовчуванням - призначається домену та впливає на налаштування всіх користувачів і комп'ютерів домену;
¾політика за замовчуванням для контроллерів домену - діє тільки на
контроллери домену.
Групові політики Active Directory зберігаються на контроллері домену.
Вони можуть бути зв'язані з сайтом, доменом або підрозділом - це області дії політики.
Без прив'язки до певного об'єкту групова політика існувати не може.
Для роботи з груповими політиками необхідно в головному меню вибрати пункти
«Адміністрування – Керування груповою політикою». В даному вікні потрібно виді-
лити підрозділ, до якого застосовується політика, і з контекстного меню вибрати пункт
«Створити об’єкт групової політики».
Для зміни групової політики щодо об’єкта його потрібно виділити і з контекстного меню вибрати пункт «Змінити». Відкриється вікно Редактора керування груповими політиками (рис. 1.5.8).
