Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 10:

Описание Active Directory

< Лекция 9 || Лекция 10: 12345 || Лекция 11 >

Планирование вашей структуры Active Directory

Вы должны отнестись очень серьезно к планированию вашей структуры Active Directory (AD). Хорошо структурированный каталог упрощает задачи администрирования и позволяет вам делегировать управление объектами. В этом разделе описываются некоторые вещи, которые вам следует учесть при создании вашей структуры AD.

Централизованное или децентрализованное административное управление

Как конфигурировать поддержку информационных служб для вашей организации? Некоторые организации имеют большие централизованные группы ИТ, которые администрируют Active Directory. Другие организации географически разбросаны и имеют некоторую техническую поддержку на местах. В условиях децентрализованного администрирования вам может потребоваться сконфигурировать структуру каталога таким образом, чтобы было проще делегировать административные задачи локальным администраторам.

Мастер делегирования управления (Delegation of Control Wizard)

С помощью мастера Delegation of Control Wizard вы можете выбрать определенную OU и делегировать административное управление этой OU. Это позволяет вам предоставлять административные права тем, кто знает свою область ответственности.

Предположим, что у вас имеется подразделение, где используют временных работников. Подразделение может иметь несколько ресурсов, доступ к которым нужно ограничить с помощью членства в группах и разрешать доступ этим людям. Может быть также несколько ресурсов, доступ к которым нужно запретить этим временным работникам с помощью групповой политики или путем реализации средств безопасности.

Используйте следующую процедуру, чтобы делегировать административное управление для определенной организационной единицы.

  1. Щелкните правой кнопкой на этой OU и выберите в контекстном меню пункт Delegation of Control Wizard.
  2. Щелкните правой кнопкой на Next, и вы увидите другое диалоговое окно, позволяющее вам добавлять группы и/или пользователей, которым вы хотите делегировать управление. Щелкните на кнопке Add, чтобы добавить группы или пользователей в этом мастере. Щелкните на кнопке Next, чтобы перейти к следующему диалоговому окну.
  3. В диалоговом окне Task to Delegate (Делегируемая задача) вы можете выбрать типичные задачи, которые хотите делегировать выбранным пользовательским и групповым учетным записям.
    • Create, delete, and manage user accounts (Создание, удаление и управление пользовательскими учетными записями).
    • Reset user passwords and force password change at next logon (Сброс паролей пользователей и вынужденная смена паролей при следующем входе).
    • Read all user information (Чтение всей пользовательской информации).
    • Create, delete, and manage groups (Создание, удаление и управление группами).
    • Modify the membership of a group (Изменение членства в группах).
    • Manage Group Policy links (Управление связями Group Policy).
    • Generate Resultant Set of Policy (Planning) [Формирование результирующего набора политики (Планирование)].
    • Generate Resultant Set of Policy (Logging) [Формирование результирующего набора политики (Регистрация в журнале)].
    • Create, delete, and manage inetOrgPerson accounts (Создание, удаление и управление учетными записями inetOrgPerson).
    • Reset inetOrgPerson passwords and force password change at next logon (Сброс паролей inetOrgPerson и вынужденная смена паролей при следующем входе).
    • Read all inetOrgPerson information (Чтение всей информации inetOrgPerson).
  4. В дополнение к типичным задачам вы можете также определять специализированные задачи для делегирования. Выбрав вариант Custom (Специализированная задача) и щелкнув на кнопке Next, вы получаете список с большим числом объектов Active Directory и возможность выбора типа задачи, чтобы ее могли выполнять с этими объектами выбранные вами делегаты.
  5. Если выбрать вариант Custom, то вы можете затем применять соответствующие полномочия к выбранным объектам.
Создание специализированных консолей MMC

После того как вы закончили работу с мастером Delegation of Control Wizard, выбранные вами группы смогут выполнять административные задачи. Вы можете создавать специализированные консоли MMC (Microsoft Management Console) и затем распространять их среди тех, кому делегировали права управления. Создавая специализированные консоли MMC, вы можете настраивать интерфейс администрирования соответствующих объектов, чтобы делегированные администраторы видели на экране только то, что им разрешено администрировать.

В следующей процедуре создается специализированная консоль MMC, где можно выводить определенную OU в Active Directory и получать к ней доступ.

  1. Для создания специализированной MMC выберите Start/Run (Пуск/Выполнить) и введите mmc в диалоговом окне Run.
  2. Появится консоль MMC с заголовком по умолчанию Console1. Чтобы создать консоль для управления определенной OU, выберите File/Add/Remove Snap-In (Файл/Добавить/Удалить оснастку).
  3. В диалоговом окне Add/Remove Snap-In щелкните на кнопке Add.
  4. В диалоговом окне Add Standalone Snap-in (Добавление автономной оснастки) выберите Active Directory Users and Computers и щелкните на кнопке Add.
  5. Щелкните на кнопке Close (Закрыть) в диалоговом окне Add Standalone Snap-in, чтобы вернуться в диалоговое окно Add/Remove Snap-in.
  6. Вы увидите эту оснастку в диалоговом окне Add/Remove Snap-in. Щелкните на кнопке OK, чтобы вернуться в MMC.
  7. Раскройте оснастку Active Directory Users and Computers и спуститесь до уровня OU, для которой хотите создать эту консоль MMC.
  8. Щелкните правой кнопкой на этой OU и выберите пункт New Window From Here (Создать окно с этого места). Появится окно новой консоли, где центром является только что выбранная вами OU. Закройте исходное окно, находящееся позади вашего нового окна, чтобы осталось только окно выбранной OU.
  9. Выберите File/Options, чтобы открыть диалоговое окно Options.
  10. В диалоговом окне Options введите дружественное (понятное) имя для вашей MMC и выберите режим в раскрывающемся списке Console Mode (Режим консоли). В данном примере выберите вариант User mode-limited access, single window (Пользовательский режим - ограниченный доступ, одно окно).
  11. Щелкните на кнопке OK, закройте консоль и сохраните свои изменения.

Ваша новая консоль будет представлена в программной группе Administrative Tools. Если открыть эту консоль, то вы будете в пользовательском режиме и увидите то, что будет видеть ваш делегированный администратор. Вы можете переслать консоль этому администратору электронной почтой, и он будет видеть только то, что ему нужно для администрирования своей OU.

Примечание. Если вы создаете и распространяете специализированные консоли, то должны сначала убедиться, что на машине пользователя, которому вы отправляете консоль, установлены соответствующие оснастки.
Создание панелей задач MMC

Специализированные консоли очень удобны для выполнения административных задач, но для их использования все же требуются некоторые знания по таким приложениям, как Active Directory Users and Computers. Возможны ситуации, когда потребуется делегировать управление каким-либо объектом Active Directory неподготовленному пользователю. В Windows Server 2003 можно создавать панели задач (taskpad) для выполнения административных заданий. Специализированные панели задач позволяют создавать и выводить для использования именно ту функцию администрирования, которая требуется делегированному администратору. Интерфейс панели задач понятен по смыслу и аналогичен использованию веб-страницы. В следующем примере описывается, как создать специализированную панель задач для сброса пароля пользовательской учетной записи в OU с именем Sales.

  1. Для создания специализированной MMC выберите Start/Run и введите mmc в диалоговом окне Run.
  2. Появится консоль MMC с заголовком по умолчанию Console1. Чтобы создать консоль для управления определенной OU, выберите File/Add/Remove Snap-In.
  3. В диалоговом окне Add/Remove Snap-In щелкните на кнопке Add.
  4. В диалоговом окне Add Standalone Snap-in выберите Active Directory Users and Computers и щелкните на кнопке Add.
  5. Щелкните на кнопке Close в диалоговом окне Add Standalone Snap-in, чтобы вернуться в диалоговое окно Add/Remove Snap-in.
  6. Вы увидите эту оснастку в диалоговом окне Add/Remove Snap-in. Щелкните на кнопке OK, чтобы вернуться в MMC.
  7. Раскройте оснастку Active Directory Users and Computers и спуститесь до уровня OU, для которой хотите создать эту консоль MMC.
  8. Щелкните правой кнопкой на этой OU и выберите пункт New Window From Here. Появится окно новой консоли, где центром является только что выбранная вами OU. Закройте исходное окно, находящееся позади вашего нового окна, чтобы осталось только окно выбранной OU.
  9. Щелкните правой кнопкой на этой OU и выберите пункт New Taskpad View (Создать представление в виде панели задач). Появится мастер New Taskpad View Wizard. Щелкните на кнопке Next, чтобы начать работу с этим мастером.
  10. В этом диалоговом окне нужно выбрать внешний вид вашей панели задач. Вы можете выбрать следующие варианты.
    • Vertical List (Вертикальный список). Создание вертикального списка объектов Active Directory с центром в этой OU.
    • Horizontal List (Горизонтальный список). Создание горизонтального списка объектов Active Directory, содержащихся в выбранной OU.
    • No List (Без списка). Без списка объектов, а только значки для выполнения определенных задач.
  11. В данном примере выберите вариант Vertical List и щелкните на кнопке Next.
  12. Выберите область действия задачи. Вы можете выбрать вариант, где берутся все элементы дерева, имеющие такой же тип, как выделенные элементы дерева, или вариант, где берутся только выделенные элементы дерева. Щелкните на кнопке выбора Selected tree item (Выбранный элемент дерева) и щелкните на кнопке Next.
  13. Введите имя и описание вашей панели задач и щелкните на кнопке Next. Щелкните на кнопке Finish, чтобы завершить этот шаг работы мастера.
  14. Когда появится диалоговое окно New Task Wizard (Мастер новой задачи), щелкните на кнопке Next, чтобы начать работу этого мастера.
  15. Выберите тип команды; в данном примере выберите вариант "menu command" (команда меню), чтобы можно было выполнять сброс паролей учетных записей.
  16. В диалоговом окне Shortcut Menu Command (Команда контекстного меню) проследите, чтобы в левой панели была выбрана какая-либо пользовательская учетная запись; в правой панели будут команды, которые влияют на текущий выделенный объект. В правой панели выберите All Tasks/Reset Password (Все задачи/ Сброс пароля) и щелкните на кнопке Next.
  17. Введите имя и описание для этой только что созданной задачи. Щелкните на кнопке Next.
  18. В диалоговом окне Task Icon (Значок задачи) выберите значок, которым хотите представлять эту задачу, и затем щелкните на кнопке Next.
  19. В диалоговом окне Completing Task Wizard (Завершение задачи) щелкните на кнопке Finish, чтобы завершить работу мастера и вернуться в консоль MMC.

После окончания работы с этими мастерами вы увидите вертикальный список объектов в выбранной организационной единице (OU). Щелкните на этом объекте, и вы увидите новый значок, представляющий команду сброса пароля. Настройте внешний вид этой панели задач и затем сохраните консоль, как это делали в предыдущем примере. Теперь вы можете распространять эту панель задач, как это делаете для специализированной консоли.

Географическое местоположение

Если администрирование вашей организации осуществляется по географическому местоположению, то, возможно, вы будете структурировать Active Directory (AD) по такому же принципу. Предположим, что у вас несколько зданий в Европе, где один ИТ-сотрудник является администратором всего этого места. Вы можете структурировать AD, чтобы у вас была OU с именем Europe, и затем делегировать управление этой OU IT-сотруднику в этом месте.

Организационная структура

У вас может быть организация, которая разбита на подразделения или отделы, имеющие собственный персонал поддержки, который хочет управлять своими объектами AD. Предположим, что в финансовом отделе имеется отдельный сотрудник, ответственный за администрирование всех финансовых операций в организации независимо от местоположения отделов. Вы можете создать структуру OU, в которой имеется OU с именем Finance и затем делегировать управление этой OU.

Вам может также потребоваться развертывание определенного приложения с помощью групповой политики, чтобы все пользователи в OU Finance имели определенный пакет бухгалтерских расчетов; этому может способствовать создание структуры OU, основывающейся на функциях, а не местоположении.

Смешанная организационная структура

В некоторых случаях вам может потребовать структура Active Directory, где используется сочетание двух принципов разбиения - по местоположению и по функциям. Например, вы можете создать структуру, где в одной функциональной OU имеется вложенность по функции и затем по местоположению. Просто при создании организационных единиц помните, что из соображений простоты администрирования вам не стоит иметь более пяти уровней вложенности.

< Лекция 9 || Лекция 10: 12345 || Лекция 11 >