Управление Организационными подразделениями, делегирование полномочий
Назначение Организационных подразделений (ОП, Organizational Units, OU) — организация иерархической структуры объектов AD внутри домена. Как правило, иерархия ОП в домене отражает организационную структуру компании.
На практике использование ОП (кроме иерархической организации объектов) сводится к двум задачам:
делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе пользователей;
применение групповых политик к объектам, входящим в ОП.
Делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе позволяет в больших организациях распределить нагрузку по администрированию учетными записями между различными сотрудниками, не увеличивая при этом количество пользователей, имеющих административные права на уровне всего домена.
Рассмотрим на примере процедуру предоставления какому-либо пользователю административных прав на управление ОП.
Откроем консоль "Active Directory – пользователи и компьютеры".
Создадим в домене подразделение, скажем, с именем OU-1, переместим в это ОП несколько имеющихся в домене учетных записей (или создадим новые).
Щелкнем правой кнопкой мыши на подразделении OU-1 и выберем пункт меню "Делегирование управления…". Запустится "Мастер делегирования управления"
В ыберем пользователя (или группу), которому будем делегировать управление данным ОП. Пусть это будет пользователь User1 (рис. 6.45). Нажмем "Далее".
Рис. 6.45
Выберем набор административных задач, которые делегируются данному пользователю (рис. 6.46):
Рис. 6.46
По завершении мастера — нажмем кнопку "Готово".
Если теперь войти в систему на контроллере домена с учетной записью User1 (при условии, что у пользователя User1 есть права локального входа в систему на контроллере домена), запустить консоль "Active Directory – пользователи и компьютеры", то пользователь User1 сможет выполнять любые операции с объектами организационного подразделения OU-1.
Кроме удобных консолей с графическим интерфейсом система Windows 2003 оснащена мощным набором утилит командной строки для управления объектами Active Directory:
dsadd — добавляет объекты в каталог;
dsget — отображает свойства объектов в каталоге;
dsmod — изменяет указанные атрибуты существующего объекта в каталоге;
dsquery — находит объекты в каталоге, удовлетворяющие указанным критериям поиска;
dsmove — перемещает объект из текущего местоположения в новое родительское место;
dsrm — удаляет объект или все поддерево ниже объекта в каталоге.
Примеры.
Создание подразделения OU-New в домене world.ru:
dsadd ou "ou=OU-New,dc=world,dc=ru"
Создание пользователя User-New в подразделении OU-New в домене world.ru:
dsadd user "cn=User-New,ou=OU-New,dc=world,dc=ru"
Модификация параметра "Номер телефона" у пользователя User-New:
dsmod user "cn=User-New,ou=OU-New,dc=world,dc=ru" –tel 123-45-67
Получение списка пользователей домена, у которых имя начинается с символа "u":
dsquery user -name u*
Далее рассмотрим применение групповых политик (как для отдельных ОП, так и для других структур Active Directory).
- 1. Лекция: Задачи и цели сетевого администрирования, понятие о сетевых протоколах и службах
- 1.1 Задачи и цели сетевого администрирования.
- 1.2 Модели межсетевого взаимодействия (модель osi, модель tcp/ip).
- Модель osi.
- Модель tcp/ip.
- Преимущества стека протоколов tcp/ip
- 2. Лекция: Сетевые операционные системы (на примере операционных систем семейства Windows Server); установка и настройка системы
- 2.1 Операционные системы семейства Windows Server как базовый инструмент для изучения курса "Сетевое администрирование"
- 2.2 Обзор редакций и функциональных возможностей системы Windows Server 2000/2003
- Планирование приобретения и установки системы
- 2.3 Установка и начальная настройка системы
- Выбор режима установки
- Выбор носителя дистрибутива системы
- Процесс установки системы
- 3. Лабораторная работа: Установка операционной системы Windows 2003 Server:
- 4. Лекция: Протокол tcp/ip, служба dns:
- 4.1 Основы функционирования протокола tcp/ip (ip-адрес, маска подсети, основной шлюз; деление на подсети с помощью маски подсети; введение в ip-маршрутизацию). Адресация узлов в ip-сетях
- Unicast-адреса.
- Публичные и приватные (частные) ip-адреса
- Отображение ip-адресов на физические адреса
- Разбиение сетей на подсети с помощью маски подсети
- Введение в ip-маршрутизацию
- 4.2 Служба dns (домены, зоны; зоны прямого и обратного просмотра; основные и дополнительные зоны; рекурсивный и итеративный запросы на разрешение имен).
- Необходимость отображения имен сетевых узлов в ip-адреса
- Использование локального файла hosts и системы доменных имен dns для разрешения имен сетевых узлов
- Служба dns: пространство имен, домены
- Служба dns: домены и зоны
- Зоны прямого и обратного просмотра
- Алгоритмы работы итеративных и рекурсивных запросов dns
- Реализация службы dns в системах семейства Windows Server
- 4.3 Диагностические утилиты tcp/ip и dns.
- 5. Лабораторная работа: Протокол tcp/ip, служба dns:
- Упражнение 1. Базовые сведения о параметрах протокола tcp/ip. Проверка коммуникаций с помощью команды ping.
- Упражнение 2. Установка службы dns. Создание зон прямого просмотра (forward lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.
- Упражнение 3. Создание зон обратного просмотра (reverse lookup zones). Динамическая регистрация узлов на сервере dns. Команда ipconfig.
- Упражнение 4. Диагностические утилиты для протокола tcp/ip: ipconfig, arp, ping, netstat, nbtstat, tracert, pathping
- Упражнение 5. Завершающие действия
- 6. Лекция: Служба каталогов Active Directory
- Модель "Рабочая группа"
- Доменная модель
- Назначение службы каталогов Active Directory
- Терминология
- Глобальный каталог
- Именование объектов
- Планирование пространства имен ad
- Установка контроллеров доменов
- 6.2 Логическая и физическая структуры, управление репликацией ad. Серверы Глобального каталога и Хозяева операций Логическая структура Active Directory
- Физическая структура Active Directory
- Репликация, управление топологией репликации
- Репликация внутри сайта
- Репликация между сайтами
- Функциональные уровни домена и леса
- Серверы Глобального каталога и Хозяева операций
- Сервер глобального каталога
- 6.3 Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики Управление пользователями и группами
- Локальные учетные записи
- Управление доменными учетными записями пользователей
- Создание доменной учетной записи
- Обзор свойств учетных записей пользователей
- Управление группами
- Управление Организационными подразделениями, делегирование полномочий
- Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, оп), применение политик и права доступа, наследование и блокировка применения
- Управление приложениями
- 6.4 Система безопасности (протокол Kerberos, настройка параметров системы безопасности) Протокол Kerberos
- Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)
- 7. Лабораторная работа: Служба каталогов Active Directory
- Упражнение 1. Установка первого контроллера в домене (лесе).
- Упражнение 2. Установка второго контроллера домена с помощью репликации бд Active Directory с первого контроллера домена.
- Упражнение 3. Установка второго контроллера домена из резервной копии бд Active Directory первого контроллера домена.
- Упражнение 4. Управление пользователями и группами; режимы функционирования домена
- Упражнение 5. Структура службы каталогов Active Directory, управление репликацией, хозяева операций
- Упражнение 6. Организационные подразделения (оп), делегирование административных полномочий
- Упражнение 7. Организационные подразделения (оп), групповые политики (гп)
- Упражнение 8. Управление приложениями с помощью групповых политик
- Упражнение 9. Консоль управления групповыми политиками - Group Policy Management Console
- Упражнение 10. Управление объектами Active Directory утилитами командной строки
- Упражнение 11. Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)
- 8. Лекция: Служба файлов и печати
- 8.1 Базовые и динамические диски, тома. Файловые системы fat16, fat32, ntfs
- Базовые и динамические диски, тома Базовые (основные) диски
- Динамические диски
- Чередующийся том
- Файловые системы fat16, fat32, ntfs
- Задачи файловой системы
- Файловая система fat
- Файловая система ntfs
- 8.2 Права доступа, наследование прав доступа, взятие во владение, аудит доступа к ресурсам Права доступа, наследование прав доступа, взятие во владение
- Предоставление общего доступа к папке
- Определение суммарных сетевых разрешений
- Специальные сетевые ресурсы
- Разрешения ntfs
- Механизм применения разрешений
- Порядок применения разрешений
- Владение папкой или файлом
- Совместное использование сетевых разрешений и разрешений ntfs
- Управление доступом с помощью групп
- Аудит доступа к ресурсам
- 8.3 Сжатие и шифрование информации. Квоты. Дефрагментация Сжатие и шифрование информации Сжатие информации
- Шифрование информации
- Дефрагментация
- 8.4 Термины и понятия сетевой печати. Установка драйверов, настройка принтеров. Протокол ipp (Internet Printing Protocol)
- Термины и понятия сетевой печати
- Установка драйверов, настройка принтеров
- Установка принтера на сервере
- Подключение к сетевому принтеру с клиентского пк
- Общие параметры сервера печати
- Свойства принтера
- Управление очередью печати
- Протокол ipp (Internet Printing Protocol)
- Установка службы печати через Интернет
- Подключение клиента
- Управление очередью печати
- 9. Лабораторная работа: Служба файлов и печати
- Упражнение 1. Подготовка контроллеров домена для упражнений с дисками и файловыми системами.
- Упражнение 2. Управление дисками.
- Упражнение 3. Управление доступом к файловым ресурсам (сетевые права доступа, локальные права доступа, взятие во владение).
- Упражнение 4. Дефрагментация раздела.
- Упражнение 5. Управление квотами.
- Упражнение 6. Сжатие и шифрование файлов.
- Упражнение 7. Аудит доступа к файловым ресурсам.
- Упражнение 8. Автономные файлы.
- Упражнение 9. Установка принтера, настройка свойств и параметров печати. Настройка протокола ipp.
- 10. Лекция: Сетевые протоколы и службы
- 10.1 Обзор сетевых протоколов NetBeui, ipx/spx; служб dhcp, wins, rras Сетевые протоколы ipx/spx, NetBeui
- Протокол NetBeui
- Стек протоколов ipx/spx
- Служба dhcp
- Планирование серверов dhcp
- Установка и авторизация сервера dhcp
- Настройка параметров dhcp-сервера Создание области и настройка ее параметров
- Настройка dhcp-клиентов
- Агент ретрансляции dhcp-запросов
- Служба wins
- Пространство имен NetBios
- Установка службы wins
- Настройка клиента wins
- Просмотр записей, зарегистрированных в бд сервера wins
- Процесс разрешения имен в пространстве NetBios
- Репликация wins-серверов
- Служба rras
- Установка и первоначальная настройка службы rras
- Настройка прав пользователей для подключения к серверу удаленного доступа
- Настройка Свойств сервера
- Использование службы radius
- Виртуальные частные сети
- Технологии виртуальных частных сетей
- Политики удаленного доступа
- 11. Лабораторная работа: Сетевые протоколы и службы
- Упражнение 1. Установка и настройка сервера dhcp.
- Упражнение 2. Установка и настройка сервера wins.
- Лекция: Служба резервного копирования
- 12.1 Архивирование и восстановление файловых ресурсов Базовые понятия службы резервного копирования
- Типы резервного копирования
- Разработка и реализация стратегии резервного копирования Понятие плана архивации
- Выбор архивных устройств и носителей
- Типовые решения архивации
- Пример создания задания на выполнения архивации данных
- Пример восстановления данных из резервной копии
- Теневые копии
- Использование теневых копий
- 12.2 Архивирование и восстановление состояния системы
- Архивирование и восстановление состояния системы
- Автоматическое аварийное восстановление системы
- Создание asr-копии
- Восстановление системы с помощью asr-копии
- 13. Лабораторная работа: Резервное копирование и восстановление данных
- Упражнение 1. Настройка программы резервного копирования и восстановления данных
- Упражнение 2. Создание резервной копии папки с документами и восстановление удаленного документа
- Упражнение 3. Создание резервной копии состояния системы
- 14. Лекция: Управление сервером
- 14.1 Консоль "Управление компьютером", консоль mmc (Microsoft Management Console), "Удаленный помощник", "Удаленный рабочий стол" Консоль "Управление компьютером"
- Консоль mmc (Microsoft Management Console)
- Параметры консоли
- "Удаленный помощник"
- "Удаленный рабочий стол"
- Режим удаленного управления сервером
- Средства администрирования служб терминалов
- Управление Свойствами пользователя для работы со службами терминалов
- Подключение к серверу терминалов
- Работа в терминальной сессии
- Подключение к сеансам других пользователей
- Завершение сеанса работы на сервере терминалов
- Настройка разрешений для подключения к серверу терминалов
- Работа служб терминалов в режиме сервера приложений
- 15. Лабораторная работа: Управление сервером
- Упражнение 1. Консоль управления (Microsoft Management Console).
- Упражнение 2. Удаленный помощник.
- Упражнение 3. Удаленный рабочий стол.
- Упражнение 4. Консоль "Управление компьютером".
- Упражнение 5. Установка набора административных консолей системы Windows Server.
- 16. Лекция: Мониторинг
- Мониторинг сетевых устройств. Мониторинг серверов (просмотр событий, аудит, мониторинг производительности, определение узких мест, мониторинг сетевой активности) Просмотр событий
- Работа с журналами
- Настройка параметров журналов событий
- Просмотр журналов (фильтрация событий)
- Аудит доступа к объектам
- Мониторинг производительности
- Диспетчер задач
- Управление приложениями
- Управление процессами
- Мониторинг загруженности системы
- Мониторинг производительности сети
- Мониторинг удаленных подключений
- Консоль "Производительность"
- Журнал оповещений
- Рекомендации по критическим значениям счетчиков
- Первоначальная настройка параметров
- Фильтрация просматриваемых данных
- 17. Лабораторная работа: Мониторинг сетевых протоколов и служб
- Упражнение 2. Мониторинг производительности
- Упражнение 3. Сетевой монитор