Лекция № 3. Управление учетными записями групп и компьютеров

В активном каталоге есть контейнеры, которые содержат учетные записи пользователей и компьютеров – группы. Существуют два типа групп:

1. группы безопасности (используются для назначения прав доступа к ресурсам);

2. группы распространения (используются для рассылки электронной почты).

Группы безопасности могут использоваться в качестве групп распространения, но не наоборот. По областям действия различают три вида групп:

1. локальные доменные;

2. глобальные;

3. универсальные.

Локальная доменная группа может объединять учетные записи пользователей и компьютеров из разных доменов, и используется для назначения прав доступа к ресурсам в том домене, в котором создана группа. Глобальная группа объединяет учетные записи пользователей и компьютеров домена, в котором создана группа, и используется для назначения прав на ресурсы, находящиеся в других доменах. Универсальная группа может содержать учетные записи из разных доменов и предоставлять права доступа к ресурсам разных доменов. Универсальные группы доступны, если домен работает в режиме Windows 2000 или в режиме Windows Server 2003. локальная доменная и глобальная группы существуют во всех режимах работы домена (смешанном, промежуточном и основном). Глобальные группы могут быть членами локальных групп и содержать в себе другие глобальные группы, локальные доменные и универсальные группы. Локальные доменные группы могут содержать в себе локальные доменные группы из того же домена. Универсальные группы могут содержать в себе другие универсальные группы, глобальные группы и локальные доменные. Также существуют локальные группы. Они используются для совместимости с доменной на базе Windows NT и не используются на контроллерах домена. Область действия группы также называется ее скопом. Локальные доменные и глобальные группы можно преобразовать в универсальные, если первоначально группы не входили в состав других групп с той же областью действия.

Также в Windows Server 2003 существует ряд специальных групп. Они не отображаются в Active Directory – пользователи и компьютеры, их нельзя удалить или изменить их состав, но для них можно задавать разрешение на доступ к ресурсам. В эти группы попадают пользователи и компьютеры в зависимости от способа входа в сеть. Примеры таких групп: Все, Сеть, Анонимный вход, Прошедшие проверку, Удаленный доступ и пр. Создавать группы и изменять их состав можно в консоли Active Directory – пользователи и компьютеры и с помощью утилит семейства DS командной строки.

Поскольку группы могут быть вложенными друг в друга, иногда бывает сложно сказать, к каким именно группам принадлежит тот или иной пользователь (информации на вкладке Член групп свойства пользователя недостаточно, т.к. специальные группы там не отображаются). Для решения этой проблемы необходимо использовать команду dsget. Изменять состав групп можно, добавляя или удаляя из них учетные записи групп, компьютеров и других пользователей.

Если необходимо создать множество групп (любых других объектов безопасности) одновременно, можно использовать команду dsadd в пакетном режиме или утилиту LDIFDE.exe. Утилита LDIFDE реализует процедуру обмена данными с активным каталогом по протоколу LDAP. Подробную справку о ключах данной команды можно найти в справочной системе Windows, а список ключей можно получить, выполнив команду ldifde /? ключ/? можно использовать для получения справки о параметрах любой команды командной строки.

Создавать учетные записи компьютеров можно также, как и учетные записи пользователей. Учетная запись компьютера также содержит имя, пароль и SID (идентификатор безопасности). Помимо прочего, для создания учетных записей компьютеров можно воспользоваться командой netdom. В любом случае необходимо быть членом группы Администраторы или Операторы учета на контроллере домена. Для того, чтобы компьютер стал членом домена, недостаточно просто создать для него учетную запись в AD, компьютер необходимо присоединить к домену. Для этого, щелкнув правой кнопкой по значку Мой компьютер, необходимо выбрать свойства системы и на вкладке Имя компьютера необходимо выбрать одноименный параметр и ввести полное DNS-имя домена. Если клиентскому компьютеру удастся связаться с DNS-серверу и найти работающий контроллер домена, то появится приглашение о присоединении с просьбой ввести имя пользователя и пароль, у которого есть привилегии пристыковывать компьютеры к домену. Если в домене учетная запись для присоединяемого компьютера была создана заранее, то она будет использоваться и в дальнейшем. Если же запись для нового компьютера не была создана, она будет создана автоматически в контейнере Computers. Нужно помнить, что к контейнеру Computers нельзя привязывать групповые политики, поэтому учетные записи компьютеров необходимо перемещать из этого компьютера в другие. Также для присоединения компьютера к домену можно использовать команду netdom join. Присоединять компьютер к домену могут члены любой группы, которым это прямо разрешено (соответствующее разрешение можно настроить при создании учетной записи компьютера). Перемещать объект компьютера внутри каталога без ограничений могут члены группы Администраторы, а члены группы Операторы учета могут перемещать объекты компьютеров везде, за исключением организационного подразделения Domain Controllers.

Учетная запись компьютера имеет некоторые свойства, которые не настраиваются при ее создании (например, информация об операционной системе). Эти свойства становятся доступными после присоединения компьютера к домену. Для поиска объектов в AD (в том числе учетных записей компьютеров) удобно использовать вкладку Поиск консоли Active Directory – пользователи и компьютеры. Причем в случае записи учетных записей компьютеров к найденным объектам можно подключиться прямо из консоли управлять некоторыми их свойствами (например, просматривать журналы безопасности и редактировать локальные учетные записи пользователей и групп). Неполадки с учетными записей компьютеров возникают крайне редко. Признаками таких неполадок являются: невозможность связаться с контроллером домена при старте системы из-за отсутствия учетной записи компьютера; сообщение об ошибках в журнале событий или возможное предположение системы об ошибке паролей. Устранить все эти неполадки можно, действуя в следующем порядке: если учетная запись компьютера есть в AD, то ее нужно переустановить; если записи нет – ее нужно создать; если проблемный компьютер является членом домена, его нужно сделать членом рабочей группы, а потом снова присоединить к домену. Применять правила можно в произвольном порядке, кроме последнего (присоединять компьютер к домену нужно всегда в последнюю очередь).

Удалять, отключать и переустанавливать учетные записи компьютеров можно с помощью команд семейства DS, netdom и в консоли Active Directory – пользователи и компьютеры (как и любые другие объекты). При отключении учетная запись остается членом групп (настроенные разрешения и политики сохраняют свое действие). При удалении учетной записи компьютера (или учетной записи пользователя) все настроенные разрешения перестают действовать, поэтому при создании учетной записи с таким же именем вновь придется восстанавливать ее членство в группах заново.