Служба каталогов Active Directory в Windows 2000 Server - Администрирование доменов в Active Directory. Часть II. Оснастка Active Directory Users and Computers. Локальные и глобальные группы

ОГЛАВЛЕНИЕ

Администрирование доменов в Active Directory. Часть II. Оснастка Active Directory Users and Computers. Локальные и глобальные группы

Главной задачей сети - управлением общими ресурсами сети в Windows 2000 "занимается" оснастка Active Directory Users and Computers (Active Directory пользователи и компьютеры) предназначена для управления пользователями, группами, очередями печати и другими объектами каталога Active Directory.

Этот инструмент позволяет создавать объекты, настраивать их атрибуты и выполнять с ними ряд других операций.

Оснастка Active Directory пользователи и компьютеры работает на контроллере домена под управлением Windows 2000 Server; оснастка не устанавливается на изолированных серверах или рабочих станциях.

Работа этого инструмента возможна на рядовом сервере (member server), являющемся членом домена, и на компьютере с Windows 2000 Professional, входящем в домен Windows 2000: для этого на них необходимо установить пакет административных оснасток Windows 2000 Administrative Tools.

Оснастку Active Directory пользователи и компьютеры можно запустить изолированно в консоли ММС или из меню Пуск|Программы|Администрирование.

 

В открывшемся окне вы можете видеть встроенные папки со сгруппированными определенными объектами каталога, играющие важную роль в управлении Active Directory, такие как Builtin, Computers, System, Users и Domain Controllers. Давайте рассмотрим содержимое каждое из этих папок отдельно.

Папка Описание
Builtin Содержит встроенные локальные группы: Account Operators (Операторы учета), Administrators (Администраторы), Backup Operators (Операторы архива), Guests (Гости), Pro-Windows 2000 Compatible Access (Совместимый с пред-Windows 2000 доступ), Print Operators (Операторы печати), Replicator (Репликатор), Server Operators (Операторы сервера) и Users (Пользователи)
Computers Содержит учетные записи всех компьютеров, подключаемых к домену. При выполнении обновления систем Windows более ранних версий служба Active Directory переносит учетные записи машин в папку Computers, откуда эти объекты могут быть перемещены
ForeignSecurityPrincipals Контейнер для SID (идентификаторов безопасности) учетных записей пользователей из внешних доверенных доменов.
Users Содержит информацию обо всех пользователях домена. При обновлении более ранних версий все .пользователи первоначального домена будут перенесены в эту папку. Так же, как и компьютеры, объекты этой папки могут быть перенесены в другие папки
Domain Controllers Содержит информацию обо всех контроллерах домена

Примечание

Следует отметить такую деталь: если контроллер домена на базе русской версии Windows 2000 Server ставился "с нуля", то имена групп и встроенных пользователей будут выводиться по-русски. Если же этот контроллер ставился как дополнительный контроллер (реплика) и база данных Active Directory реплици-ровапась с американской версии Windows 2000 Server, то имена выводятся по-английски.

Перейдем к практике, и рассмотрим основные принципы создания и управления объектами Active Directory

Создание подразделения (организационной единицы)

Для создания подразделения, или организационной единицы (Organizational Unit, OU) необходимо выполнить следующее:

1. Выбрать объект типа "домен" и нажать правую кнопку мыши. В появившемся меню выбрать команду Создать|Подразделение (New|Organizational Unit) либо нажать кнопку Создание нового подразделения в текущем контейнере (Create a new organizational unit in a current container) на панели инструментов.

 

2. В открывшемся окне указать имя создаваемого подразделения и нажать кнопку ОК.

 

В результате в выбранном вами домене будет создано подразделение с заданным именем. В дальнейшем внутри него можно создать вложенные подразделения.

 

Создание учетной записи пользователя

Теперь посмотрим, как создаются в домене учетные записи пользователей, например пользователя с идентификатором Sidorov:

1. Сначала необходимо указать подразделение, в котором вы хотите создать учетную запись, и нажать правую кнопку мыши. В появившемся меню выберите команду Создать|Пользователь.

 

2. В появившемся окне диалога Новый объект Пользователь (New Object User) в поле Имя входа пользователя (User logon name) следует указать идентификатор, в поле Имя (First name) - имя пользователя, в поле Фамилия (Last name) - фамилию пользователя, в поле Полное имя (Full name) автоматически появятся имя и фамилия пользователя.

При необходимости содержимое последнего поля можно откорректировать. После ввода всей необходимой информации в следующем окне в полях ввода Пароль (Password) и Подтверждение (Confirm password) необходимо задать пароль учетной записи пользователя.

3. Если вы не хотите, чтобы пользователь принудительно сменил пароль при первой регистрации в сети, нужно сбросить флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon).

4. В случае, если пользователь может не изменять пароль в течение неограниченного времени, нужно установить флажок Срок действия пароля не ограничен (Password never expires).

 

5. Установленный флажок Запретить смену пароля пользователем (User cannot change password) запрещает пользователю самостоятельно изменять свой пароль.

6. Если только что созданная учетная запись по каким-либо причинам должна быть заблокирована, необходимо установить флажок Отключить учетную запись (Account disabled).

7. В итоге настройки создаваемой учетной записи в окне диалога, запрашивающего подтверждение правильности выполняемого действия, нажимаем кнопку Готово (Finish).

 

И в результате в подразделении будет создана учетная запись пользователя с именем Sidorov

 

Если необходимо ввести какую-либо дополнительную информацию о пользователе или осуществить изменения уже существующих настроек достаточно выбрать учетную запись этого пользователя и, нажав правой кнопкой мыши, в появившемся меню выбрать Свойства.

 

Внести затем все необходимые изменения и нажать кнопку ОК.

 

Перемещение учетной записи пользователя

Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя необходимо:

Щелкнуть на подразделении, откуда требуется перенести пользователя и указать учетную запись пользователя, которую следует перенести. Нажав правой кнопкой мыши в меню выбрать команду Переместить (Move), а в появившемся окне Переместить выбрать целевое подразделение.

 

Как правило, необходимость переноса учетных записей пользователей из папки Users в другие подразделения возникает при обновлении более ранних версий Windows NT Server на Windows 2000 Server