Администрирование ActiveDirectory

Ежедневно с помощью службы ActiveDirectoryвы будете создавать учетные записи компьютеров, подключать их к домену и т, д. Здесь вы изучите средства управления ActiveDirectoryи методы управления компьютерами, контроллерами домена и организационными подразделениями (ОП).

Средства управленияСЛУЖБАми ActiveDirectory

Для управления ActiveDirectoryпредназначены средства администрирования и поддержки.

Средства администрирования ActiveDirectory

Выполнены в виде оснасток консоли ММС. Инструменты управления ActiveDirectory:

• ActiveDirectoryUsers and Computers (ActiveDirectory— пользователи и компьютеры) позволяет управлять пользователями, группами, компьютерами и ОП;

• ActiveDirectoryDomains and Trusts (ActiveDirectory— домены и доверие) служит для работы с доменами, деревьями доменов и лесами доменов;

• ActiveDirectorySites and Services (ActiveDirectoryсайты и службы) позволяет управлять сайтами и подсетями. В Microsoft Windows2000 SERVERможно добавить соответствующие оснастки в любую собственную консоль или получить доступ к средствам напрямую из меню Administrative Tools (Администрирование). Если на вашем компьютере установлена другая ОС и есть доступ к домену Windows2000,средства не будут доступны, пока вы их не установите. Об установке этих средств см. главу 1. Вы также можете создать пакет установки ПО для средств, которые будут распространяться и устанавливаться через ActiveDirectory. Еще одно средство администрирования — оснастка ActiveDirectorySchema (Схема ActiveDirectory) — позволяет управлять и модифицировать схему каталога. ActiveDirectorySchema поставляется с комплектом ресурсов Windows2000 (о его установке см. главу 1).

Средства поддержки ActiveDirectory

ActiveDirectorySchema — одно из многих средств ActiveDirectoryиз состава Windows2000 Support Tools. Вот несколько средств, которые помогут сконфигурировать, управлять и устранять неполадки ActiveDirectory(табл. 6-1). Табл. 6-1. Краткий перечень средств поддержки ActiveDirectory. Средство поддержки (имя команды) Описание ActiveDirectoryAdministration Tool (Ldp) ActiveDirectoryObject Manager (movetree) ActiveDirectoryReplication Monitor (Replmon) ADS! Edit DPS File SYSTEMUtility (dfsutil) DirectoryServices Management Tool (NTDSUTIL) DNSSERVERTroubleshooting Tool (DNScmd) Domain Manager (netdom) DSACLS Осуществляет операции по протоколу Lightweight DirectoryAccess Protocol (LDAP) в рамках ActiveDirectory. Перемещает объекты из одного домеиа f t другой. Управляет репликацией и отслеживает ее результаты в графическом интерфейсе. Управляет объектами в каталоге, включая каталог схемы. Позволяет настроить списки контроля доступа для объектов. Управляет распределенной файловой системой (distributed file SYSTEM, DPS) и отображает сведения о работе DPS. Отображает информацию о сайтах, доменах и серверах. Управляет хозяевами операций. Исследует или регистрирует записи ресурсов службы именования доменов (Domain Name Service, DNS). Анализирует связи сайтов и доменов, а также структуру репликации. Управляет списками управления доступом для объектов в ActiveDirectory.

DSAStat Исследует контексты именования на контроллерах домена для выявления отличий. Replication Diagnostics Управляет репликацией и отслеживает ее Tool (Rcpadmin) результаты в режиме командной строки. Security Descriptor Анализирует распространение, репликаCheck Utility (sdcheck) цию и наследование списков управления доступом. Showaccs Проверяет разрешения доступа пользователей к объектам ActiveDirectoryили откатывает списки управления доступом к состоянию по умолчанию. SIDWalker Настраивает списки управления доступом для объектов, в прошлом принадлежавших перемещенным, удаленным или «осиротевшим* учетным записям.

Средство ActiveDirectoryUsers and Computers Это главное средство администрирования ActiveDirectory, которое используется для выполнения всех задач, связанных с пользователями, группами и компьютерами, а также управления ОИ.

Запуск ActiveDirectoryUsers and Computers

Для запуска ActiveDirectoryUsers and Computers выберите соответствующий ярлык в меню Administrative Tools. Также можно добавить ActiveDirectoryUsers and Computers как оснастку в любую собственную консоль. 1. В ММС в меню Console (Консоль) выберите Add/Remove Snap-In (Добавить/удалить оснастку). Откроется одноименное окно. 2. На вкладке Standalone (Изолированная оснастка) щелкните Add (Добавить). 3. В окне Add Snap-In Add Standalone Snap-In (Добавить изолированную оснастку) щелкните ActiveDirectoryUsers and Computers, а затем Add.

Основы работы с ActiveDirectoryUsers and Computers По умолчанию ActiveDirectoryUsers and Computers работает с доменом, к которому относится ваш компьютер- Вы можете получить доступ к объектам компьютеров и пользователей и этом домене через дерево консоли (рис. 6-1). Если вы не можете найти контроллер домена или домен, с которым вы хотите работать, не показан, возможно, нужно подключиться к контроллеру вашего или другого домена. Другие высокоуровневые задачи, которые вы можете выполнить из ActiveDirectoryUsers and Computers, — просмотр дополнительных параметре?: или поиск объектов. Получив доступ к домену в ActiveDirectoryUsers and Computers, вы заметите, что доступен стандартный набор папок:

• Builtin — список встроенных учетных записей пользователей;

• Computers — контейнер но умолчанию для учетных записей компьютеров;

• Domain Controllers — контейнер по умолчанию для контроллеров домена;

• Users — контейнер по умолчанию для пользователей. Вы также можете добавить папки для ОП. На рис. 6-1 видно, что были созданы два ОП в домене seattle.domain.com: Foreign Security Principals и Marketing.

Соединение с контроллером домена

Соединение е контроллером домена служит нескольким целям. Если после запуска ActiveDirectoryUsers and Computers вы не видите объекты, вы можете связаться с контроллером домена для получения доступа к объектам пользователей, групп и компьютеров в соответствующем домене. Можете также связаться с контроллером домена, если подозреваете, что репликация выполняется неправильно и вам нужно обследовать объекты на заданном контроллере. Подключившись, вы сможете выявить несоответствия в недавно обновленных объектах. Чтобы связаться с контроллером домена, сделайте так. 1. В дереве консоли щелкните правой кнопкой ActiveDirectoryUsers and Computers и выберите Connect To Domain Controller (Подключение к контроллеру домена).

2. Вы увидите текущий домен и контроллер, с которым работаете, в одноименном окне (рис. 6-2),

3. В списке Available Controllers In перечислены доступные в домене контроллеры. По умолчанию выбрано Any Wri-table Domain Controller. Если вы выберете этот параметр, то свяжетесь с контроллером, который первым ответит на запрос. Или же выберите конкретный контроллер, с которым нужно связаться. Щелкните ОК.

Соединение с доменом

Если вы имеете соответствующие права доступа, в ActiveDirectoryUsers and Computers разрешается работать с любым доменом в лесу. Кот как связаться с доменом. 1. В дереве консоли щелкните правой кнопкой ActiveDirectoryUsers and Computers и выберите Connect To Domain Controller. 2. В одноименном окье отображается текущий (или принятый по умолчанию) домен. Введите имя нового домена и щелкните ОК. Или щелкните Browse (Обзор), а потом выберите домен в диалоговом окне. Просмотр дополнительных параметров ActiveDirectoryUsers and Computers обладает дополнительными функциями, которые не включены по умолчанию. Чтобы просмотреть дополнительные сведения, в меню View (Вид) выберите Advanced Features (Дополнительные функции). Вы увидите три дополнительные папки:

• ForeignSecurityPrincipals содержит информацию об объектах из доверенного внешнего домена; как правило, они создаются, когда объект из внешнего домена добавляется в группу в текущем домене;

• LostAndFound содержит «осиротевшие» объекты, которые можно удалить или иосстановить;

• SYSTEMсодержит встроенные параметры системы. Поиск учетных записей и общих ресурсов В ActiveDirectoryUsers and Computers есть внутренняя функция поиска учетных записей, общих ресурсов и других объектов каталога в текущем или указанном домене или во всем каталоге. 1. В дереве консоли щелкните правой кнопкой текущий домен или заданный контейнер, в котором хотите вести поиск, и выберите Find. Откроется окно Find Computers (рис. 6-3).

2. Выберите тип поиска из списка Find:

• Users, Contacts, And Groups (Пользователи, контакты и группы) — учетные записи пользователей и групп, а также контакты, перечисленные в службе каталогов;

• Computers (Компьютеры) — учетные записи компьютеров по типу, имени и владельцу;

• Printers (Принтеры)— принтеры по имени, модели и свойствам;

• Shared Folders (Общие папки) — общие папки по имени или ключевому слону;

• Organizational Units (Подразделения) — ОП по имени.

• Custom Search (Особый поиск) — углубленный поиск или запрос по протоколу LDAP. 3. Выберите область поиска в списке In. Если вы до этого щелкнули правой кнопкой контейнер, например Computers, он выбирается по умолчанию. Чтобы искать все объекты в каталоге, выберите Entire Directory(Вся папка). 4. Введя параметры поиска, щелкните Find Now (Найти). Все совпадающие разделы отображаются внизу окна. Дважды щелкните объект для просмотра или изменения его свойств. Щелкните объект правой кнопкой для отображения меню команд управления объектом. Примечание Тип поиска определяет, какие поля и вкладки доступны в диалоговом окне Find. Как правило, вы просто будете вводить имя искомого объекта, в поле Name, но есть и другие параметры поиска. Например, вы можете искать цветной принтер, принтер, который может печатать на обеих сторонах листа, принтер, оснащенный скоросшивателем и т. п.

Управление учетнымизаписями компьютеров

Учетные записи компьютеров хранятся в ActiveDirectoryкак объекты и могут применяться для контроля доступа к сети и ее ресурсам. Вы можете добавлять учетные записи компьютеров в любой контейнер, доступный в ActiveDirectoryUsers and Computers. Лучше всего использовать контейнеры Computers, Domain Controllers и любые созданные вами ОП. Примечание Компьютеры с Windows9x получают доступ к сети, как клиенты ActiveDirectory, но у них нет учетных записей компьютера. Подробнее о получении доступа к доменам ActiveDirectoryсм. главу 5.

Создание учетных записей компьютера на рабочей станции или сервере

Простейший способ создания учетной записи компьютера — войти в компьютер, который вы хотите конфигурировать, и присоединиться к домену, как описано в разделе «Присоединение компьютера к домену или рабочей группе». Когда вы сделаете это, нужная учетная запись компьютера будет автоматически создана и помещена и папку Computers или Domain Controllers. Можно также заранее создавать учетные записи компьютеров в ActiveDirectoryUsers and Computers.

Создание учетных записей компьютера

в ActiveDirectoryUsers and Computers 1. В дереве консоли ActiveDirectoryUsers and Computers щелкните правой кнопкой контейнер, в котором хотите разместить учетную запись компьютера. 2, Щелкните New (Создать), а потом — Computer (Компьютер). Откроется окно New Object — Computer (рис. 6-5). Введите имя компьютера клиента.

3. По умолчанию только члены группы Domain Admins (Администраторы домена) вправе присоединять компьютеры к домену. Чтобы разрешить это другим пользователям или группам, щелкните Change (Изменить). Затем в окне Select User Or Group выберите учетную запись пользователя или группы. Примечание Вы можете выбрать любую существующую учетную запись пользователя или группы. Это позволяет делегировать полномочия на присоединение учетной записи компьютера к домену. 4. Если эту учетную запись должны будут использовать системы WindowsNT, выберите Allow Pre-Windows2000 Computers To Use This Account. 5. Щелкните OK или Next. Если вы не настраиваете управляемый ПК, пропустите пп. 6-9. (Управляемые компьютеры — те, что можно установить удаленно. Для это требуются службы удаленной установки.) 6. Чтобы настроить управляемый компьютер, выберите This Is A Managed Computer (Это управляемый компьютер). 7. Введите глобально уникальный идентификатор (GUID) в текстовом поле (рис. 6-6).

Примечание GUfD компьютера поставляется производителем и должен быть введен в формате {dddddddd-dddd-dddd

dddd-dddddddddddd), где d — шестнадцатеричная цифра, например {811AC123-BC13-22CD-ABCD-11BB11342112}. GUID указывается в наклейке снаружи или внутри корпуса компьютера, а также в BIOS. 8. Укажите, какой несущий сервер будет проводить удаленную установку, выбрав один из параметров:

• Any Available Remote Installation SERVER(Любой доступный сервер удаленной установки) разрешает любому серверу удаленно устанавливать ОС на управляемый ПК;

• The Followimg Remote Installation SERVER(Следующий сервер удаленной установки) разрешает удаленную установку ОС только серверу с указанным полным именем DNS. 9. Щелкните Next, а затем — Finish (Готово). Примечание Новые компьютеры включаются в группу Domain Computers. Когда вы устанавливаете ActiveDirectoryна сервер и тот становится контроллером домена, компьютер перемещается в группу Domain Controllers. О группах см. главы 7 и 8.

Просмотр и редактирование свойствучетных записей компьютера

1. Запустите ActiveDirectoryUsers and Computers. 2. В дереве консоли раскройте узел домена, щелкнув значок плюс (+) рядом с его именем. 3. Щелкните правой кнопкой нужную учетную запись и выберите Properties (Свойства). Б появившемся окне свойств можно просмотреть и изменить параметры.

Удаление, отключение и включение учетных записей компьютера

Если вам больше не нужна учетная запись какого-то компьютера, вы можете навсегда удалить ее из ActiveDirectoryили временно отключить, а позднее включить вновь. 1. Б меню Administrative Tools выберите ActiveDirectoryUsers and Computers. 2. В дереве консоли щелкните контейнер, где расположена учетная запись компьютера. Затем щелкните правой кнопкой саму запись компьютера.

3. Выберите Delete (Удалить), чтобы удалить учетную запись, а затем подтвердите удаление, щелкнув Yes. 4. Выберите Disable Account (Отключить учетную запись), чтобы временно отключить учетную запись, а потом подтвердите действие, щелкнув Yes. Красный крест на значке записи указывает, что она отключена. Внимание! Отключить используемую учетную запись невозможно. В этом случае выключите компьютер или прервите его рабочий сеанс в папке Sessions (Сеансы) консоли Computer Management (Управление компьютером). 5. Выберите Enable Account (Включить учетную запись), чтобы разрешить вювь использовать учетную запись. Сброс заблокированных учетных записей компьютера Иногда учетная запись компьютера может быть заблокирована, или компьютерный сеанс может зависнуть. Тогда сбросьте учетную запись. 1. В меню Administrative Tools выберите ActiveDirectoryUsers and Computers, 2. В дереве консоли щелкните контейнер, где расположена учетная запись компьютера. Затем щелкните правой кнопкой саму запись компьютера. 3. Выберите Reset Account. Если операция удалась, вы увидите окно подтверждения. Щелкните ОК.

Перемещение учетных записей компьютера

Учетные записи компьютера обычно хранятся в контейнерах Computers, Domain Com rollers или в созданных вами ОП. Вы можете переместить учетную запись в другие контейнеры. 1. В меню Administrative Tools выберите ActiveDirectoryUsers and Computers,. 2. В дереве консоли щелкните контейнер, где расположена учетная запись. 3. Щелкните правой кнопкой учетную запись компьютера, которую хотите переместить, и выберите Move. Откроется одноименное окно Move (рис. 6-7). 4. Щелкните узел домена, а затем — контейнер, куда хотите переместить компьютер. Щелкните ОК.

Управление компьютерами

По ходу работы с ActiveDirectoryUsers and Computers вы можете открыть консоль Computer Management и связаться напрямую с нужным компьютером, щелкнув правой кнопкой запись компьютера и выбрав Manage.

Присоединение компьютера к домену или рабочей группе

Эта операция позволяет компьютерам с WindowsNT/2000 входить в сеть и получать доступ к домену. Компьютеры с Windows95/98 не нуждаются в учетных записях компьютера и не присоединяются к сети этим методом, а настраиваются как клиенты ActiveDirectory. Подробности см. в г лапе 5. Сначала убедитесь, что на компьютере правильно установлены сетевые компоненты. Они должны были устанавливаться вместе с ОС (см. также главу 15 о настройке ТСР/1Р-соединсний). Если службы DHCP, WINS и DNSправильно установлены в сети, рабочим станциям не потребуются статичные IP-адреса или специальная настройка. Единственные обязательные параметры — имя компьютера и имя домена, которые вы можете задать, когда присоединяетесь к домену.

Присоединение компьютера с существующим сетевым соединением

Во время установки ОС, возможно, для компьютера было сконфигурировано сетевое соединение. Или вы могли ранее присоединить компьютер к домену или рабочей группе. Если так, вы можете присоединить компьютер к новому домену или рабочей группе. 1. Войдите в систему на рабочей станции или сервере, который хотите сконфигурировать. 2. Откройте окно Network And Dial-Up Connections (рис. 6-8), раскрыв меню Start\Settings и выбрав Network And DialUp Connections (Сеть и удаленный доступ к сети),

Если на компьютере настроены сетевые или колшутирусмые соединения, они будут показаны (рис. 6-8). Дважды щелкните значок соединения для просмотра его состояния. Щелкните ссылку Network Identification (Сетевая идентификация). Откроется диалоговое окно SYSTEMProperties (Свойства системы) с выбранной вкладкой Network Identification (рис. 6-9). Примечание Нельзя изменить сетевую идентификацию контроллера домена, поэтому ссылка Network Identification для него будет недоступна. Откройте Control Panel (Панель управления), дважды щелкните SYSTEM(Система), а затем

в окне свойств выберите вкладку Network Identification. Вы увидите текущий сетевой идентификатор, но кнопки Network и ID Properties будут недоступны.

Щелкните Properties. 6. Чтобы переименовать компьютер, введите новое имя в поле Computer Name (Имя компьютера), например Zeta. 7. Чтобы присоединиться к новому домену, в области Member Of (Является членом) выберите Domain (домена) и введите имя домена, например microsoft.com. 8. Чтобы присоединиться к новой рабочей группе, в панели Member Of выберите Workgroup (рабочей группы) и введите имя группы, например TcstDevGroup. 9. Если вы внесли изменения, щелкните ОК. В ответ на запрос введите имя и пароль учетной записи пользователя, полномочного проводить эти изменения. Снова щелкните ОК. 10. Если изменения успешны, вы увидите окно подтверждения. Щелкните ОК, чтобы перезагрузить компьютер.

11, Если изменения не удались, вы увидите либо сообщение об этом, либо что учетная запись уже используется. Проблема может возникнуть, когда вы изменяете имя компьютера, у*ке подключенного к домену, и когда у него есть активные сеансы в домене. Закройте приложения, которые могут соединяться с доменом, такие как Проводник Windows, обращающийся к общей папке в сети, и повторите ПРОЦЕСС.

Присоединение компьютера по новому сетевому соединения

Если вы не настроили сетевую информацию во время установки ОС или вам просто нужно создать новое сетевое соединение, сделайте так. 1. Войдите на рабочую станцию или сервер, который хотите настраивать. 2. Раскройте меню Start\Sel:tings и выберите Network And Dial-Up Connections. 3. Щелкните ссылку Network Identification, чтобы открыть окно свойств системы с выбранной вкладкой Network Identification (рис. (>-Э). Как уже говорилось, этот параметр недоступен на контроллерах домена. 4. Щелкните Network ID (Идентификация), чтобы запустить мастер. Прочтите ириветстиие и щелкните Next.

5. Сетевой параметр по умолчанию — связать компьютер с сетью (рис. 6-10). Поскольку это нам и нужно, щелкните Next. 6. Чтобы присоединиться к домену, выберите My Computer Uses A Computer With A Domain (Моя организация использует сеть с доменами) и щелкните Next. 7. Чтобы присоединиться к рабочей группе, выберите My Computer Uses A Network Without A Domain (Моя организация использует сеть без доменов). Щелкните Next и введите имя рабочей группы, например TestDevGroup. Завершите ПРОЦЕСС, щелкнув Next, а затем Finish. Пропустите оставшиеся шаги. 8. Вас попросят собрать информацию, которая понадобится для присоединения к домену. Вам нужно знать имя, пароль и домен учетной записи пользователя, полномочного присоединить компьютер к домену, а также целевое имя компьютера и домен. Щелкните Next. 9. Введите имя пользователя, пароль и домен административной учетной записи (рис. 6-11). Щелкните Next.

10. Если имя компьютера и домен уже заданы и существует учетная запись для компьютера в этом домене, вы увидите запрос: хотите ли вы присоединить компьютер к домену. Щелкните Yes. Иначе введите имя компьютера и домен компьютера. Затем щелкните Next. 11. Если у вас спрашивают учетную запись полномочного пользователя, введите имя пользователя, пароль и домен учетной записи пользователя, который вправе присоединять компьютер к домену. 12. Далее у вас есть возможность уполномочить пользователя для доступа к компьютеру. Это позволит пользователю войти в систем} и обратиться к ресурсам компьютера но сети. Если вы хотите сделать это, выберите Add The Following User и введите имя и домен пользователя (рис. 6-12). Или же выберите Do Not Add User At This Time. Помните, что нам может понадобиться предоставить доступ к компьютеру позже.

13. Если вы уполномочили пользователя па доступ к компьютеру, задайте уровень полномочий (рис. 6-13).

• Standart User — пользователь считается опытным и способен изменясь параметры компьютера и устанавливать приложения; такие пользователи включаются э локальную группу Power Users (Опытные пользователи).

Restricted User — обычный пользователь, способный получать доступ к компьютеру и сохранять документы. Он не может изменять параметры компьютера или устанавливать программы и включается в локальную группу Users (Пользователи). Other — позволяет включить пользователя в любую локальную группу, включая Administrators, Backup Operators (Операторы архива) и Guests (Гости).

Управление контроллерами домена, ролями и каталогами

Контроллеры доменов выполняют важные задачи в доменах ActiveDirectory. Многие из этих задач обсуждались в главе 5. Установка и понижение контроллеров домена Контроллер домена формируется из рядового сервера путем установки ActiveDirectory. Если затем вы решите, что сервер больше не должен выполнять задачи контроллера, его можно понизить до уровня рядового сервера. Операции установки ActiveDirectoryи понижения контроллера похожи, но перед выполнением этих задач проанализируйте их влияние на сеть и ознакомьтесь с главой 5. Как там сказано, когда вы устанавливаете контроллер домена, вам может понадобиться передать роли хозяина операций и переконфигурировать структуру глобального каталога. Кроме того, перед установкой ActiveDirectoryв сети должна работать DNS, а целевой жесткий диск — иметь формат NTFS 5,0. О преобразовании дисковых форматов см. главу 10. Аналогично перед понижением контроллера нужно передать все его ключевые обязанности другим контроллерам домена, т. е. при необходимости нужно переместить глобальный каталог с сервера и передать все его роли хозяина операций.

Вот как установить или понизить контроллер домена.

1. Войдите на сервер, который хотите настроить. 2. В меню Start выберите Run. 3. Наберите dcpromo и шелкните ОК. Запустится мастер установки ActiveDirectory. 4. Если компьютер — рядовой сервер, мастер проведет вас через этапы установки службы каталогов ActiveDirectory. Вам нужно указать, будет ли это контроллер нового домена или дополнительный контроллер существующего домена. 5. Если компьютер — контроллер домена, мастер проведет вас через ПРОЦЕССпонижения контроллера домена. После понижения компьютер действует как рядовой сервер.

Просмотр и передача доменных ролей

ActiveDirectoryUsers and Computers позволяет просмотреть или изменить расположение доменных ролей хозяина операций. На уровне домела вы можете работать с ролями хозяина относительных идентификаторов (Relative ID, RID), эмулятором PDC и хозяином инфраструктуры. Примечание О роли хозяина операций см. главу 5. Для настройки роли хозяина именования служит ActiveDirectoryDomains And Trusts, а изменения роли хозяина схемы — ActiveDirectorySchema. Чтобы передать роль хозяина операций, сделайте так.

1. В дереве консоли щелкните правой кнопкой ActiveDirectoryUsers and Computers и выберите Operations Masters. Откроется одноименное окно (рис. 6-14).

2. Вкладка RID показывает местоположение текущего хозяина относительных идентификаторов. Щелкните Change (Изменить) и выберите новый контроллер домена для передачи роли на новое место. 3. Вкладка РОС показывает местоположение текущего эмулятора РОС. Щелкните Change, а затем выберите новый контроллер домена для передачи роли на новое место. 4. Вкладка Infrastructure (Инфраструктура) показывает местоположение текущего хозяина инфраструктуры. Щелкните Change, а затем выберите новый контроллер домена для передачи роли на новое место. Щелкните ОК.

Просмотр и передача роли хозяина именования домена

В ActiveDirectoryUsers and Computers позволяет просмотреть или изменить расположение хозяина именования домена в лесу. В ActiveDirectoryDomains And Trusts корневой уровень дерева контроля показывает выбранный домен. Внимание! Если вам нужно связаться с другим доменом, свяжитесь с контроллером (см. раздел «Соединение с контроллером домена»). Единственное отличие в том, что вы щелкаете правой кнопкой ActiveDirectoryDomains And Trusts в дереве консоли. Чтобы передать роль хозяина именования домена, сделайте так. 1. Запустите ActiveDirectoryDomains And Trusts. 2. В дерене консоли щелкните праиой кнопкой ActiveDirectoryDomains And Trusts и выберите Operations Master. Откроется окно Change Operations Master (Изменение хозяина операций). 3. В поле Domain Naming Operations Master (Хозяин именования доменов) отображается текущий хозяин именования домена. 4. Щелкните Change, ;i затем выберите новый контроллер. Роль будет передана этому контроллеру. 5. Щелкните Close.

Просмотр и передача роли хозяина схемы

ActiveDirectoryUsers and Computers позволяет просмотреть или изменить расположение хозяина схемы. Эта утилита поставляется как оснастка, доступная, когда установлен полный набор средств администрирования. Роль руководителя схемы передается так. 1. Установив средства администрирования, вы можете добавить оснастку ActiveDirectorySchema в Microsoft Management Console. Щелкните Start, а затем Run. 2. Наберите mmc /а и щелкните ОК. 3. В меню Console выберите Add/Remove Snap-In и щелкните Add. 4. В дереве консоли щелкните правой кнопкой ActiveDirectorySchema и выберите Change Domain Controller (Изменение контроллера домена). 5. Выберите Any Domain Controller (Любой контроллер), чтобы позволить ActiveDirectoryныбрать нового хозяина схемы. Или выберите Specify Name (Укажите имя) и

введите имя нового хозяина схемы, например zcta.scattle. domain.eom. 6. В дереве консоли щелкните правой кнопкой ActiveDirectorySchema и выберите Operations Master (Хозяин операций). Щелкните Change.

Настройка глобальных каталогов

Глобальные каталоги (ГК) играют в сети важную роль (см. главу 5). Иногда их требуется добавлять для ускорения операций поиска, а иногда — удалять. Так, если в сайте два или более ГК, желательно оставить только один из них. Чтобы включить/отключить ГК, сделайте так. 1. Запустите ActiveDirectorySites And Services. 2. В дереве консоли раскройте дерево просмотра для сайта, с которым хотите работать, щелкнув ;шачок плюс ( + ) рядом с его именем. 3. Раскройте папку SERVERs для сайта и щелкните сервер, который хотите настроить для храпения ГК.

4. Щелкните правой кнопкой NTDS Settings и выберите Properties. 5. Чтобы активизировать ГК, выберите Global Catalog на вкладке General (рис. 6-15). 6. Чтобы отключить ГК, снимите флажок Global Catalog. Управление ОП Как говорилось в главе 5, организационные подразделения (ОП) помогают организовывать объекты, применять групповую политику в ограниченной области и т. и.

Создание ОП

Обычно ОП создают для отражения функциональной или бизнес-структуры организации. Вы можете создавать ОП как подгруппы домена или дочерние подразделения внутри существующего ОП. ОП создается так. 1. Запустите ActiveDirectoryUsers and Computers. 2. В дереве консоли раскройте узел домена, щелкнув значок плюс (+) рядом с его именем. 3. Щелкните правой кнопкой узел домена или папку существующего ОП, в которую хотите добавить ОП. Выберите в меню New (Создать), а затем — Organizational Unit (Подразделение). 4. Введите название ОП и щелкните ОК. 5. Теперь вы можете перемещать учетные записи и общие ресурсы в ОП. Для примера см. раздел «Перемещение учетных записей компьютера» этой главы. Просмотр и изменении свойств ОП 1. Запустите ActiveDirectoryUsers and Computers. 2. В дереве консоли раскройте узел домена, щелкнув значок плюс (+) рядом с именем домена. 3. Щелкните правой кнопкой нужное ОП и выберите Properties. Откроется окно свойств, позволяющее просматривать и изменять параметры.

Переименование и удаление ОП

1. В ActiveDirectoryUsers and Computers щелкните правой кнопкой папку ОП, с которым хотите работать. 2. Чтобы удалить ОП, выберите Delete (Удалить). Затем подтвердите действие, щелкнув Yes. 3. Чтобы переименовать ОП, выберите Rename (Переименовать). Введите новое имя для ОП и нажмите Enter. Перемещение ОП 1. В ActiveDirectoryUsers and Computers щелкните правой кнопкой папку ОП, которое хотите переместить, и выберите Move (Переместить). 2. В окне Move щелкните узел домена, а затем — контейнер, куда хотите переместить ОП. Щелкните ОК.