Прежде всего коротко о том, что такое Active Directory (далее AD). Это база данных, которая содержит информацию о пользователях, компьютерах, принтерах, сетевых ресурсах и прочих сетевых объектах. Она включает в себя систему защиты и является распределенной (т.е. может храниться одновременно на нескольких серверах). Только сервер с развернутой на нем AD может быть контроллером домена. Рекомендуется создавать несколько контроллеров (один основной, остальные резервные) для надежной работы сети и правильного баланса ее загрузки. Изменения, внесенные в AD на одном сервере, непременно передаются на все остальные (этот процесс называется репликацией).
Рассмотрим процесс установки AD. В окне настройки сервера выберите пункт "Active Directory", в правой части окна выберите "Запустить мастер установки Active Directory". Если окно настройки сервера по каким-либо причинам не появляется после загрузки, вызовите его следующим образом: "Пуск" -> "Программы" -> "Администрирование" -> "Настройка сервера".
Также мастер установки AD можно вызвать, используя команду dcpromo.
После нажатия "Далее" появится запрос, будет ли данный сервер являтся контроллером домена в новом домене или добавочным контроллером в существующем домене. Если вы создаете свой собственный домен с нуля, выберите "Контроллер домена в новом домене".
Если вы выбрали "Контроллер домена в новом домене", мастер спросит у вас, хотите ли вы создать новое доменное дерево или поместить свой домен в существующее дерево. Если вы создаете первый домен в вашей сети, выбирайте создание нового доменного дерева.
Если вы выбрали создание нового доменного дерева, следующим вопросом будет, хотите ли вы создать новый лес доменных деревьев или добавить свое доменное дерево в существующий лес. При создании первого домена в вашей сети выбирайте создание нового леса.
Далее мастер попросит вас ввести полное DNS-имя создаваемого домена. При присвоении имени советую делать, как принято в Internet (если в дальнейшем вы планируете интеграцию вашей сети в Internet, это вам существенно поможет). Например, вы администрируете экономический отдел фирмы "Ореол", входящей в холдинг "Главрыба". Тогда укажите DNS-имя ekonom.oreol.glavriba.ru. В этом случае администратор, например, юридического отдела сможет создать домен jurist.oreol.glavriba.ru, и оба домена будут входить в домен oreol.glavriba.ru, который, в свою очередь, будет входить в домен glavriba.ru. За счет этого структура сети будет простой и понятной.
Теперь мастер попросит ввести NetBIOS-имя домена. Оставьте то, которое стоит по умолчанию.
После этого появится окно с запросом, где бы вы хотели разместить базы данных и журнал AD. Их рекомендуется размещать на разных дисках.
Затем необходимо указать, где будет размещаться папка Sysvol. Она будет сетевой и будет содержать системные политики и прочие необходимые для нормальной работы домена файлы. Обратите внимание, что она обязательно должна размещатся на томе с файловой системой NTFS 5.
Теперь ваш сервер обратится к вышестоящему DNS-серверу, что бы зарегестрировать на нем свое DNS-имя. Если вышестоящий сервер не поддерживает динамическое обновление имен DNS (как правило, именно так и есть), то об этом будет выдано соответствующее предупреждение (просто нажмите "Ок").
После предупреждения мастер установки предложит установить и настроить службу DNS на вашем сервере. Смело выбирайте автоматическую настройку и жмите "Далее".
Теперь необходимо ввести пароль, который будет использоваться для работы сервера в режиме восстановления служб каталогов. Рекомендуется, что бы этот пароль не совпадал с паролем учетной записи администратора.
После ввода и подтверждения пароля мастер выдаст окно, в котором вы еще раз можете проверить все указанные ранее настройки и, если они вас не устраивают, вернуться назад и изменить их. Если все в порядке, жмите "Далее".
Произойдет установка и настройка AD.
По завершению настройки мастер выдаст следующее окно. При нажатии кнопки "Готово" компьютер перезагрузится.
После перезагрузки мы получим полноценный контроллер домена. Теперь, если зайти в Пуск" -> "Программы" -> "Администрирование" -> "Active Directory - пользователи и компьютеры", мы увидим структуру AD. Более того, через эту консоль можно управлять AD - создавать и удалять пользователей, отключать их учетные записи, создавать группы пользователей, создавать контейнеры и папки для удобства систематизации учетных записей.
Для начала необходимо добавить рабочие станции в только что созданный домен. Это можно сделать только с рабочими станциями, находящимися под управлением Windows NT4/2000/XP. Станции под управлением Windows 95/98/ME в домен не добавляются. Что бы добавить компьютер в домен, необходимо на них зайти в "Пуск" -> "Настройка" -> "Панель управления" -> "Система" -> вкладка "Сетевая идентификация" (можно просто вызвать свойства ярлыка "Мой компьютер", находящегося на рабочем столе, нажатием правой клавиши мыши, а затем выбрать вкладку "Сетевая идентификация" в появившемся окне).
Теперь нажмите кнопку "Идентификация". Начнет свою работу мастер сетевой идентификации.
После нажатия "Далее" мастер спросит, входит ли компьтер в корпоративную сеть или предназначен для домашнего использования. Ответьте, что компьютер входит в корпоративную сеть.
Затем в следующем окне следует ответить, что ваша организация использует сеть с доменами.
После этого мастер поставит вас в известность, какие данные вам понадобятся для добавления данного компьютера в домен.
Первым делом мастер сетевой идентификации запросит у вас учетную запись и пароль администратора РАБОЧЕЙ СТАНЦИИ. Введите их в соответствующих полях. В поле "Домен" укажите сетевое имя рабочей станции (как правило оно само стоит там по умолчанию).
Теперь в поле "Компьютер" укажите сетевое имя рабочей станции (если его там нет), а в поле "Домен компьютера" - NetBIOS-имя вашего домена.
После указания имени домена надо ввести учетную запись и пароль пользователя домена, обладающего правами присоединения рабочих станций к домену (в нашем случае это будет учетная запись администратора ДОМЕНА).
Следующим окном будет окно добавления пользователей, в котором мастер спросит, стоит ли добавить нового пользователя (администратора рабочей станции) в список пользователей рабочей станции. Выберите добавить и нажмите "Далее".
Теперь надо указать, какие права на рабочей станции будет иметь добавляемый пользователь. Выбирайте на ваше усмотрение, но все же, на мой взгляд, стоит предоставить учетной записи администратора рабочей станции администраторские же права, так как надо оставить на будущее "черных ход" для себя любимого ;-)
Ну вот и добрались до завершающего окна работы мастера.
После нажатия кнопки "Готово" появится предупреждение о необходимости перезагрузки компьютера для вступления изменений в силу. Нажмите "Ок" на предупреждении, затем "Ок" в окне сетевой идентификации, и ответьте "Да" на предложение о перезагрузке компьютера.
После перезагрузки ваш компьтер должен стать полноценным членом домена. Убедиться в том, так это или нет, можно следующими способами. Во-первых, он должен появится в AD в папке Computers.
Во-вторых, окно ввода пароля на рабочей станции теперь должно содержать поле выбора домена (поле "Вход в" на рисунке).
Если же никаких подобных изменений не наблюдается, или, более того, в ходе добавления компьютера в домен выскакивали какие-либо ошибки, проверьте настройки сетевых подключений на рабочей станции и сервере, обратив особое внимание на IP-адреса DNS-серверов.
В следующем окне можно задать пароль пользователю.
Что бы он не смог его сменить, установите галочку "Запретить смену пароля пользователем". Если же напротив, вы желаете, что бы пользователь сам придумал себе пароль, а вы его не знали - поставьте галочку "Потребовать смену пароля при следующем входе в систему". Галочку "Срок действия пароля не ограничен" устанавливайте, если вы не хотите, что бы система сама потребовала поменять пароль через некоторое время. Время принудительной смены пароля, а также требования к его сложности и прочие параметры можно сменить, зайдя в консоль администрирования "Политика безопасности домена" -> "Параметры безопасности" -> "Политики учетных записей" -> "Политика паролей". Для самого сервера все эти настройки меняются таким же образом в консоли "Политика безопасности контроллера домена". Прошу обратить внимание, что для рабочих станций домена и для серверов имеются разные консоли.
И, наконец, если вы не хотите, что бы пользователь сразу после создания учетной записи мог войти в систему, поставьте галочку "Отключить учетную запись". В следующем окне мастер создания пользователей предоставит вам всю введенную ранее информацию, которую вы можете утвердить, нажав кнопку "Готово". Все, пользователь создан.
Введите в нем имя группы и укажите остальные свойста. Если хотите, что бы группа действовала во всем лесе доменов, выберите "Глобальная", если же желаете сделать так, что бы она действовала в рамках одного домена, выбирайте "Локальная в домене". Группа безопасности предназначена для назначения доступов к сетевым ресурсам. Группа распространения - для массовых рассылок (например, электронной почты). Так что в большинстве случаев вам будет нужна именно группа безопасности. После введения всех необходимых данных нажмите "Ок". Созданная группа появится в папке "Users" в AD. Если вызвать свойства только что созданной группы (да и вообще любой группы безопасности), то, помимо вкладок "Общие" и "Управляется", имеющих чисто информативный характер, можно увидеть вкладки "Члены группы" и "Член групп". На вкладке "Члены группы" задаются пользователи и другие группы, входящие в данную группу. На вкладке "Член групп" задаются группы, в которые входит данная группа.
[Предыдущая глава] [Следующая глава]
[Скачать статью полностью (2 Mb)]
[Вернутся к оглавлению]
© Drakon, 2005-2006