Перемещение учетной записи пользователя
Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя необходимо:
Щелкнуть на подразделении, откуда требуется перенести пользователя и указать учетную запись пользователя, которую следует перенести. Нажав правой кнопкой мыши в меню выбрать команду Переместить (Move), а в появившемся окне Переместить выбрать целевое подразделение.
Как правило, необходимость переноса учетных записей пользователей из папки Users в другие подразделения возникает при обновлении более ранних версий Windows NT Server на Windows 2000 Server
Создание группы
В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.
К встроенным относятся перечисленные ниже группы.
Локальные группы в домене:
Администраторы (Administrators)
Гости (Guests)
Операторы архива (Backup Operators)
Операторы печати (Print Operators)
Операторы сервера (Server Operators)
Операторы учета (Account Operators)
Пользователи (Users)
Репликатор (Replicator)
Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)
Глобальные группы
Администраторы домена (Domain Admins)
Владельцы-создатели групповой политики (Group Policy Creator Owners)
Гости домена (Domain Guests)
Издатели сертификатов (Cert Publishers)
Компьютеры домена (Domain Computers)
Контроллеры домена (Domain Controllers)
Пользователи домена (Domain Users)
Универсальные группы:
Администраторы предприятия (Enterprise Admins)
Администраторы схемы (Schema Admins)
Все эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.
Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные.
По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена.
Все встроенные глобальные группы находятся в папке Users.
Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.
По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.
Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.
Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.
Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.
Помимо перечисленных выше встроенных групп, при установке домена Windows 2000 создаются особые группы, обладающие дополнительными свойствами; среди них группы
- ВСЕ (Everyone)
- объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.
- СЕТЬ (Network)
- объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).
- ИНТЕРАКТИВНЫЕ (Interactive)
- объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс
Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.
Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Посмотрим, что необходимо выполнить для создания группы:
1. Выбирается подразделение, где следует создать группу, по нажатию правой кнопкой мыши выбирается команда Создать|Группа (Group), либо можно воспользоваться кнопкой Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов.
2. В открывшемся окне диалога Новый объект Группа в поле Имя группы (Group name) нужно ввести имя создаваемой группы.
По умолчанию вводимое имя группы автоматически заносится в поле Имя группы (пред-Windows 2000) (Group name (pre-Windows 2000)).
3. Теперь нужно с помощью переключателя Тип группы (Group type) выбрать соответствующий типу создаваемой группы:
Группа безопасности (Security)
Группа распространения (Distribution) .
Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры.
Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.
Затем выбрать подходящую область действия создаваемой группы, установив в одно из положений переключатель Область действия группы (Group scope). Область действия группы определяет, где может быть видна данная группа (уровень доступности) и какие типы объектов могут быть ее членами. Следующая таблица показывает нам соответствие области действия и других свойств группы.
Область действия | Уровень доступности группы | Тип объектов, допустимых в качестве членов группы |
Локальная в домене (Domain Local) | отдельный домен | Пользователи, а также глобальные и универсальные группы из всего леса, другие локальные группы из этого же домена (последнее - только в основном, native, режиме домена) |
Глобальная (Global) | Лес | Пользователи, а также глобальные и универсальные группы |
Универсальная (Universal) | Лес | Пользователи и глобальные группы (только в основном режиме домена) |
Итак, мы создали новую группу в домене, тем необходимо добавить пользователя в эту группу.
Для добавления пользователя в группу необходимо:
Указать группу, в которую вы хотите добавить пользователя, и по правой кнопке мыши в меню выберите команду Свойства.
Появится окно свойств группы. Переходим на вкладку Члены группы (Members) окна свойств и нажимаем кнопку Добавить. Появится окно Выбор: Пользователи, Контакты или Компьютеры (Select Users, Contacts, or Computers). Здесь можно задать область выполнения запроса: весь каталог, определенный домен или определенная часть дерева подразделения внутри домена. Обратите внимание, что каталог может состоять из множества доменов.
Щелкнув мышкой на имени добавляемого пользователя нажимаем кнопку Добавить.
Нажав клавишу Ctrl и одновременно выполняя щелчки на нужных объектах, в этом диалоговом окне можно одновременно выбрать несколько пользователей или групп. В результате все выбранные объекты станут членами соответствующей группы.
Итак, учетные записи пользователей домена созданы, они включены в соответствующие группы домена, теперь необходимо раздать пользователям ресурсы.
"Раздача" ресурсов в общее пользование. Вложенные группы
Публикация общей папки
Любая папка, для которой организован общий доступ, включая папку DFS, может быть опубликована в Active Directory.
Публикация заключается в создании в Active Directory объекта типа "общая папка".
Сама публикация не подразумевает автоматическое обеспечение общего доступа к папке, поэтому процесс публикации состоит из двух этапов:
1. Обеспечение общего доступа к папке.
2. Ее публикация в Active Directory в виде объекта каталога
Для публикации общего ресурса в виде объекта каталога необходимо выполнить следующее:
1. В оснастке Active Directory - пользователи и компьютеры указать подразделения, где необходимо опубликовать общую папку, и по правой кнопке мыши в появившемся меню выбрать команду Создать|Общую папку(New|Shared Folder).
2. В открывшемся окне в поле Имя (Name) задать имя, которое получит опубликованная папка.
3. Затем ввести значение UNC-имя общей папки в формате в поле Сетевой путь к общему ресурсу (\серверресурс) (Network Path (\servershare)).
Определенным неудобством является то, что система не проверяет существование указанного общего ресурса и не позволяет выбрать его в диалоговом режиме
Теперь при просмотре дерева Active Directory пользователи могут видеть опубликованную папку.
А для того чтобы просмотреть общую папку необходимо на рабочем столе зайти в папку Мое сетевое окружение (My Network Places), выбрать значок Вся сеть (Entire Network), и затем Папка (Directory). Щелкнуть на имени вашего домена и затем на папке, где расположена необходимая общая папка, в данном случае это подразделение Lesson, папка Documents.
Если в открывшемся окне указать общую папку и нажать правой кнопкой мыши, а в появившемся меню выбрать команду Открыть (Open), то вы увидите все файлы, находящиеся в выбранной папке.
Публикация принтеров
Принтеры, подключенные к системам Windows 2000
Принтер, общий доступ к которому осуществляется через компьютер с Windows 2000, публикуется привычным способом: с помощью вкладки Доступ (Sharing) окна свойств принтера.
По умолчанию принтер, к которому организуется общий доступ, публикуется автоматически. Он находится в каталоге в соответствующем контейнере компьютера. При обращении к нему нужно указать имя в формате Имя_сервера-Имя_принтера. Подсистема печати будет автоматически распространять в Active Directory информацию обо всех изменениях атрибутов принтера (местоположения, описания, загруженной бумаги и т. д.).
Для того чтобы обеспечить общий доступ к принтеру, а затем опубликовать его в каталоге необходимо выполнить следующее:
1. С помощью обычной процедуры (Пуск|Настройка|Принтеры|Установка принтера(Start |Settings|Printers|Add Printer)) можно создать новый принтер и разрешить общий доступ к нему.
2. После успешного завершения создания принтера автоматически выполняется его публикация в Active Directory.
Принтеры, работающие в других системах
В каталоге Active Directory могут быть опубликованы общие принтеры, работающие в системах, отличных от Windows 2000 (например, Windows NT или Windows 9x). Такие принтеры проще всего опубликовать с помощью сценария pubprn, который публикует все общие принтеры, находящиеся на указанном сервере. Сценарий расположен в каталоге %SystemRoot%System32. Его синтаксис:
cscript pubprn.vbs сервер [trace]
Например:
cscript pubprn.vbs prservl "LDAP://ou=Office, dc=BHV, dc=ru"
В данном случае все принтеры на сервере \prservl будут опубликованы в подразделении Office.
Этот сценарий копирует только следующее подмножество атрибутов принтера:
Местоположение (Location)
Модель (Model)
Комментарий (Comment)
Путь UNC (UNCPath)
Другие атрибуты можно добавить с помощью оснастки Active Directory -пользователи и компьютеры. Обратите внимание, что сценарий pubprn может быть выполнен повторно. В этом случае информация о существующем принтере будет обновлена.
Другой способ публикации принтеров, работающих в других (не-Windows 2000) системах, с помощью оснастки Active Directory - пользователи и компьютеры:
В этом случае необходимо выбрать подразделение, в котором вы хотите опубликовать принтер, и нажать правой кнопкой мыши. В появившемся меню выберать команду Создать (New)|Принтер (Printer);
Затем в поле Сетевой путь к пред-Windows 2000 общему ресурсу печати (Network path of the pre-Windows 2000 print share) ввести полный путь к принтеру, а в окне Имя (Name) ввести с клавиатуры имя принтера, под которым он будет опубликован.
Чтобы увидеть опубликованный принтер в каталоге и подключиться к нему, так же, как и в случае общего каталога, следует открыть папку Мое сетевое окружение -> Вся сеть (Entire Network)-> Папка (Directory), выбрать имя домена и зайти в папку (подразделении), где расположен необходимый принтер. Затем указать имя просматриваемого принтера, нажать правой кнопкой мыши и в появившемся меню выберите команду Подключить (Connect) для установки принтера как локального, или Открыть (Open) для просмотра текущего состояния, очереди печати.
Работа с объектами типа "компьютер"
Объект типа "компьютер" автоматически создается при включении компьютера в домен. Этот объект можно также создать заранее.
Для создания объекта "компьютер" следует:
1. Выбрать подразделение, где будет создан объект "компьютер", нажать правой кнопкой мыши и в появившемся меню выбрать команду Создать|Компьютер(New|Computer).
2. В открывшемся окне Новый объект Компьютер (New Object Computer) введите с клавиатуры имя компьютера. Вместо имени можно ввести его полный адрес. Например, windows2000.BHV.ru. Также следует проверить правильность NetBIOS-имени компьютера в поле Имя компьютера (пред-Wiadows 2000) (Computer name (Pre-Windows 2000)). Обратите внимание, что компьютеры Windows 2000 автоматически обновляют свои сетевые адреса в каталоге.
3. С помощью кнопки Изменить можно выбрать пользователя или группу, которым будет дано право подключить данный компьютер к домену.
4. Если созданный объект "компьютер" будет использоваться компьютерами под управлением более ранних версии Windows NT, необходимо установить флажок Разрешать использование этой учетной записи на пред-Windows 2000 компьютерах (Allow pre-Windows 2000 computers to use this account
После создания объекта "компьютер" можно управлять им удаленно, диагностируя службы, работающие на этом компьютере, просматривая события и т. д.
Для того чтобы управлять компьютером удаленно необходимо:
1. В окне оснастки Active Directory пользователи и компьютеры указать имя компьютера, нажать правой кнопкой мыши. В появившемся меню выберите команду Управление (Manage).
2. Для выбранного компьютера будет запущена оснастка Управление компьютером (Computer Management). Теперь с ее помощью можно осуществлять задачи управления данным компьютером.
Итак, мы с вами рассмотрели, как создавать объекты Active Directory, теперь увидим, как можно ими управлять.
Любой объект в Active Directory можно переименовать или удалить. При этом следует соблюдать особую осторожность, чтобы не удалить объекты, необходимые для работы системы. Большинство объектов разрешено перемещать в различные контейнеры.
Для переименования объекта следует указать нужный объект, нажать правой кнопкой мыши и в появившемся контекстном меню выбрать команду Переименовать (Rename
Если необходимо удалить объект - выбрать команду Удалить (Delete), либо нажать клавишу Del на клавиатуре.
Если необходимо переместить объект - выбрать команду Переместить (Move). Запустится браузер каталога, позволяющий выбрать контейнер, куда будет перемещен объект
Теперь поговорим еще об одном важнейшем новшестве операционной системы Windows 2000 Server, которым можно пользоваться в основном (native) режиме домена, - это вложенные группы (nested groups).
Вложенные группы
Применяя вложенные группы, можно значительно сократить затраты на управление объектами Active Directory и уменьшить трафик, вызванный репликацией изменений членства в группах. Возможности вложенных групп зависят от режима работы домена.
Если домен работает в основном режиме, то применение вложенных групп подчиняется следующим правилам
1) Универсальные группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, другие универсальные группы и глобальные группы из любого домена.
2) Глобальные группы могут содержать учетные записи своего домена и глобальные группы своего домена.
3) Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, универсальные группы и глобальные группы (все указанные объекты могут быть из любого домена), а также другие локальные группы своего домена
В смешанном (mixed) режиме группы безопасности могут быть вложены в соответствии со следующими правилами
1) Глобальные группы могут иметь в качестве своих членов только учетные записи пользователей и компьютеров.
2) Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, а также глобальные группы
Чтобы понять, как работают вложенные группы, выберем одно из подразделений и по правой кнопке мыши в появившемся меню выберем команду Создать|Группа.
В качестве имени новой группы введите с клавиатуры Group1.
Теперь таким же образом создадим еще две группы Group11 и Group111. Области действия вложенных групп должны соответствовать описанным выше правилам.
Указываем группу Group1 и по правой кнопке мыши в появившемся меню выбираем Свойства.
В этом окне включаем группу Group11 в члены группы Group1. Для этого на вкладке Член групп (Member Of) окна свойств группы Group11 нажимаем кнопку Добавить и выбираем Group1.
Теперь указываем группу Group111 и нажмите правую кнопку мыши. В окне Свойства для данной группы включаем группу Group111 в члены группы Group11.
И так далее. Ограничений на число уровней вложенных групп нет.
Итак, мы с вами рассмотрели общие принципы управления ресурсами средствами Active Directory - создание объектов Active Directory, управление ими, создание ресурсов общего пользования, познакомились с новыми особенностями администрирования, которые предоставляет Windows 2000.