Active directory users and computers windows server 2003

Active Directory (AD) — это база данных платформы Windows Server 2003. Active Directory содержит информацию о таких объектах, как сетевые учетные записи, группы, серверы и принтеры, а также другую информацию о домене. Active Directory поддерживается в Windows Server 2003 Enterprise Edition и Datacenter Edition. Active Directory нельзя установить на серверах Windows 2003 Web Edition.

Active Directory содержит иерархическую структуру для администратора, позволяющую организовывать объекты в его домене. Должное планирование структуры этого каталога позволяет администратору упростить делегирование администрирования и облегчить управление настольными системами.

Поскольку AD — это база данных LDAP (Lightweight Directory Access Protocol), вы можете реализовать запросы по объектам, содержащимся в этом каталоге. Имеются средства, с помощью которых вы можете применять фильтры к своим запросам, позволяющие сузить область поиска нужной вам информации.

В этой лекции рассматривается структура Active Directory, а также дается описание некоторых стратегий по структуризации вашей собственной базы данных Active Directory. Описывается также, как создавать запросы и использовать средства оснастки Active Directory Users and Computers для поиска информации.

Структура Active Directory

Active Directory позволяет вам использовать иерархическую структуру для организации объектов, содержащихся в вашем домене. Объектами могут быть, например, пользователи, принтеры и группы. В
«Контроллеры доменов»
описывается, как использовать DCPROMO для повышения статуса вашего рядового сервера Windows Server 2003 до уровня контроллера домена. После выполнения DCPROMO ваш сервер будет содержать установку по умолчанию Active Directory.

Оснастка Active Directory Users and Computers

Active Directory Users and Computers — это ваш интерфейс для управления объектами Active Directory, такими как пользователи, компьютеры и группы. Для просмотра вашей установки Active Directory выберите Start/Programs/Administrative Tools/ Active Directory Users and Computers (см. рис. 10.1).

Оснастка Active Directory Users and Computers выглядит аналогично Windows Explorer (Проводник). Она содержит значки папок и объектов, содержащихся в этих папках. Эти папки называются организационными единицами (OU) и контейнерами. Организационные единицы — это папки со значком книги в середине. AD поставляется с OU по умолчанию Domain Controllers (Контроллеры домена). Контейнеры — это папки, не содержащие какого-либо значка.

Организационные единицы

OU — это объекты в Active Directory, которые могут определяться пользователем и к которым может применяться групповая политика. По умолчанию AD содержит OU Domain Controllers, куда включаются все контроллеры данного домена. Каждый раз, как вы запускаете DCPROMO на рядовом сервере домена, компьютерная учетная запись этого компьютера перемещается в OU Domain Controllers.

Администратор может также создавать организационные единицы (OU). Обычно OU создаются для упрощения административного управления доменом. Для создания OU выполните следующие шаги.

1. Щелкните правой кнопкой на узле, для которого хотите создать OU (например, на узле домена) и выберите New/Organizational Unit (Создать/Организационная единица).
2. В диалоговом окне New Object — Organizational Unit введите имя вашей OU. В данном примере используется OU Sales.
3. Щелкните на кнопке OK.
4. Диалоговое окно закроется, и вы увидите новую созданную OU под узлом домена.

Вы можете создавать вложенные OU, помещая их внутри этой OU, но обычно при создании структуры OU не рекомендуется создавать более 5 уровней вложенности.

Контейнеры

Контейнеры создаются системой Windows Server 2003 по различным причинам. По умолчанию создаются следующие контейнеры.

• Builtin.Содержит несколько локальных в домене групп по умолчанию (подробнее см. в
  «Управление группами и организационными единицами»
  ).
• Computers.По умолчанию при добавлении какого-либо компьютера в ваш домен учетная запись этого компьютера помещается в контейнер Computers. Вы можете в дальнейшем перемещать эти компьютерные учетные записи в созданную вами OU.
• ForeignSecurityPrincipals.Содержит прокси-объекты для вашего домена, чтобы взаимодействовать с доменом NT 4 и нижележащими доменами как со сторонними доменами вне вашего леса.
• Users.Контейнер по умолчанию для учетных записей Windows; в случае миграции из домена NT 4 здесь будут находиться ваши пользовательские учетные записи. При желании вы можете перемещать эти пользовательские учетные записи в другие OU.

Если выбрать View/Advanced Features (Вид/Дополнительно) в Active Directory Users and Computers, то вы увидите следующие дополнительные контейнеры.

• LostAndFound.Содержит объекты, которые были удалены в данном домене, если объект был перемещен в OU или контейнер, удаленный до того, как была выполнена репликация каталога.
• NTDS Quotas.В Windows Server 2003 добавлено несколько новых технологий, позволяющих задавать квоты на объекты Active Directory. В этом контейнере хранится информация о квотах служб каталога.
• Program Data.Новый контейнер, введенный в Windows Server 2003, чтобы хранить политики управления авторизацией для приложений.
• System.Содержит несколько дочерних контейнеров.
• AdminSDHolder.Используется для управления полномочиями пользовательских учетных записей, которые являются членами встроенных групп Administrators или Domain Admins.
• ComPartitionSets.Используется в разработке приложений; содержит информацию для наборов разделов COM+, что позволяет пользователям в этом домене выполнять доступ к службам приложения, которые предоставляются приложением COM+.
• Default Domain Policy.Содержит группы безопасности и полномочия по умолчанию для вашего домена.
• Dfs-Configuration.Содержит информацию по отказоустойчивой файловой системе Distributed File System (DFS). Сведения по DFS см. в
  «Управление файлами и дисками»
  .
• DomainUpdates.Здесь создаются контейнеры, если у вас выполнена модернизация из Windows NT или Windows 2000 в Windows Server 2003.
• File Replication Service.Содержит информацию по планированию репликации System Volume (SYSVOL) для вашего домена.
• FileLinks.Используется службой Distributed Link Tracking для отслеживания информации по файлам, которые были перемещены на другие тома NTFS.
• IP Security.Содержит политики IPSec для вашего домена, которые обеспечивают защищенный сетевой обмен информацией между компьютерами.
• Meetings.Используется для хранения информации, относящейся к собраниям Microsoft NetMeeting.
• MicrosoftDNS.В этом контейнере хранятся интегрированные с Active Directory зоны DNS. Здесь сохраняются записи всех зон, которые затем реплицируются на другие серверы DNS для той же зоны DNS в данном домене. Подробнее об интегрированных с Active Directory зонах DNS см. в
  «Ознакомление с DNS»
  .
• Policies.Содержит объекты Group Policy (GPO) для вашего домена. Подробнее об объектах GPO см. в
  «Использование Group Policy для управления клиентскими и серверными машинами»
  .
• RAS and IAS Servers Access Check.Содержит информацию по службам Remote Access Services (RAS) и Internet Authentication Services (IAS) для вашего домена.
• RpcServices.Служба Remote Procedure Call Name Service для поиска в доменах для систем, предшествовавших Windows 2000.
• Winsock Services.В этом контейнере публикуются основанные на применении сокетов службы, которые используют протокол Registration and Resolution Protocol.
• WMIPolicy.Содержит объекты GPO Windows Management Instrumentation (WMI) для вашего домена. Фильтры WMI применяются только к Windows XP и последующим версиям.

Объекты Active Directory

Еще одним элементом, содержащимся в Active Directory, являются объекты. Объекты размещаются внутри организационных единиц и контейнеров Active Directory. Вы можете помещать объекты в определенной OU и определять групповую политику по этой OU, чтобы упрощать задачи администрирования или управлять компьютерной средой. К примерам объектов можно отнести принтеры, пользовательские учетные записи, компьютерные учетные записи и группы безопасности.

LDAP и Active Directory

Active Directory можно запрашивать с помощью протокола LDAP (Lightweight Directory Access Protocol), который поддерживается несколькими платформами. LDAP указывает путь именования, определяющий любой объект Active Directory, OU или контейнер. В этом разделе описываются пути именования, используемые для доступа к Active Directory.

Отличительные имена

Каждый объект в Active Directory имеет свое отличительное имя (DN — distinguished name). DN определяет полный путь LDAP для доступа к определенному объекту Active Directory. Любое DN содержит следующие атрибуты пути.

• Доменный компонент (DC — Domain Component).Используется для определения компонента DNS-имени объекта Active Directory.
• Организационная единица (OU).Организационная единица.
• Общее имя (CN — Common Name).Объект, отличный от DC или OU; например, CN можно использовать для определения компьютерной или пользовательской учетной записи.

Ниже приводится пример того, как выглядит DN для организационной единицы Domain Controllers в Active Directory для вымышленного домена company.com:

OU=Domain Controllers, DC=company,DC=dom

Так что же описывает это DN? Глядя на него, вы можете сказать, что организационная единица Domain Controllers находится в домене company.com.

В качестве еще одно примера предположим, что у вас имеется структура OU Sales в домене company.com. Внутри OU Sales находится еще одна OU с именем West. Внутри OU West у вас имеется учетная запись с именем Mary Smith. Для доступа к этой учетной записи используется следующее DN:

CN=Mary Smith,OU=West,OU=Sales, DC=company,DC=dom

Как видно из этих примеров, описание DN дается снизу вверх по пути в Active Directory, начиная с объекта и вплоть до корня домена.

Относительные отличительные имена

Относительное отличительное имя (relative distinguished name) в пути LDAP содержит информацию об объекте Active Directory в контексте текущего рассматриваемого пути. Если взять предыдущий пример получения объекта с помощью отличительного имени (DN) для пользовательской учетной записи Mary Smith, то DN описывалось как

CN=Mary Smith,OU=West,OU=Sales, DC=company,DC=dom

Относительное отличительное имя для этого объекта

Обычные
задачи, которые вы будете выполнять с
помощью службы каталога Microsoft
Active
Directory
системы Windows
Server
2003, вовлекут вас в управление такими
объектами Active
Directory
как пользователи
и
группы.
Большинство
компаний создает и реализует проект
Active
Directory
один раз. После развертывания с
большинством объектов Active
Directory
произойдут небольшие изменения. Однако
работа с объектами user
(пользователь) и объектами group
(группа) является исключением из этого
правила. По мере того как служащие
присоединяются к компании или оставляют
ее, администратор тратит время на
управление пользователями и группами.
Служба Active
Directory
содержит другие объекты, такие как
printer
(принтер), computer
(компьютер) и shared
folder
(общие папки), которые также требуют
частого администрирования.

В этой
главе обсуждаются концепции и процедуры,
которые используются для управления
объектами Active
Directory.
В ней обсуждаются типы объектов, которые
можно хранить в Active
Directory
и объясняется, как управлять этими
объектами. Показан основной интерфейс,
который вы будете использовать для
работы с объектами, инструмент Active
Directory
Users
And
Computers
(Пользователи и компьютеры Active
Directory)
и некоторые усовершенствования, которые
сделаны для этого инструмента в Windows
Server
2003.

Управление
пользователями

В
службе Active
Directory
Windows
Server
2003 существуют три объекта, которые
используются для представления
индивидуальных пользователей в каталоге.
Два из них, объект user
(пользователь)
и объект inetOrgPerson,
являются
участниками безопасности, которые могут
использоваться для назначения доступа
к ресурсам вашей сети. Третий объект
contact
(контакт)
не является участником безопасности и
используется для электронной почты.

Объекты
User

Один
из наиболее типичных объектов в любой
базе данных Active
Directory
— объект user.
Объект
user,
подобно
любому другому объекту

класса
Active
Directory,
представляет собой совокупность
атрибутов. Фактически, он может иметь
более 250-ти атрибутов. Этим служба Active
Directory
Windows
Server
2003 сильно отличается от службы каталога
Microsoft
Windows
NT,
в которой объекты user
имеют
очень мало атрибутов. Поскольку Active
Directory
может обеспечить эти дополнительные
атрибуты, она полезна именно как служба
каталога, а не просто как база данных
для хранения опознавательной информации.
Active
Directory
может стать основным местом хранения
большей части пользовательской информации
в вашей компании. Каталог будет содержать
пользовательскую информацию: номера
телефона, адреса и организационную
информацию. Как только пользователи
научаться делать поиск в Active
Directory,
они смогут найти практически любую
информацию о других пользователях.

Когда
вы создаете объект user
,
нужно заполнить некоторые из его
атрибутов. Как показано на рисунке 10-1,
при создании учетной записи пользователя
требуется только шесть атрибутов, причем
атрибуты сп
и
sAMAccountName
конфигурируются
на основе данных, которые вы вводите
при создании учетной записи. Остальные
атрибуты, включая идентификатор
безопасности (SID),
автоматически заполняются системой
безопасности.

Рис.
10-1. Обязательные атрибуты учетной записи
пользователя, отображаемые инструментом
Adsiedit.msc

При
создании учетной записи пользователя
вы можете назначить значения многим
атрибутам объекта user.
Некоторые
из атрибутов нельзя увидеть через
интерфейс пользователя (UI),
например, атрибут Assistant
(Помощник).
Его можно заполнять, используя скрипт
или инструмент

Adsiedit.msc,
который обращается к атрибуту напрямую.
Можно заполнять скрытые атрибуты в
процессе общего импорта информации
каталога с использованием утилит
командной строки Csvde
или Ldifde.
Детальную информацию по использованию
этих утилит смотрите в Help
And
Support
Center
(Центр справки и поддержки). Заполнять
невидимые в UI
атрибуты необходимо, так как они
используются для поиска и изменения
объектов. В некоторых случаях скрытый
атрибут доступен через диалоговое окно
Find
(Поиск). Например, в инструменте Active
Directory
Users
And
Computers
(Пользователи и компьютеры Active
Directory)
для поиска всех пользователей, которые
имеют один и тот же атрибут Assistant,
используйте
вкладку Advanced
(Дополнительно) в диалоговом окне Find,
чтобы создать запрос, основанный на
атрибуте Assistant
(см.
рис. 10-2). В этом окне щелкните на кнопке
Field
(Поле), выберите User
(Пользователь), а затем выберите атрибут,
по которому вы хотите сделать поиск.
Так можно найти многие скрытые атрибуты.

Рис.
10-2. Поиск учетных записей пользователя
по атрибутам, которые не видны в
пользовательском интерфейсе

Дополнительная
информация. Вы можете просматривать
и изменять любой атрибут объекта user,
используя инструменты Adsiedit.msc
или Ldp.exe.
Более эффективный способ состоит в
использовании скриптов. От этого можно
получить значительную выгоду, поскольку
Active Directory
написана так, чтобы разрешать и поощрять
использование скриптов. Информацию об
использовании скриптов для автоматизации
задач управления службой Active
Directory смотрите в центре
TechNet Script
Center по адресу
http://www.microsoft.com/technet/scriptcenter/default.asp.
TechNet Script
Center содержит ресурсы для
создания скриптов и типовые сценарии,
используемые для расширения административных
задач, которые иначе выполняются через
консоли управления службой Active
Directory. Смотрите также
веб-сайт Microsoft Press
Online по адресу http://
www.microsoft.com/mspress/,
где находится бонус-глава по созданию
сценариев «Introduction to
ADSI Scripting
Using VBScript»
(Введение в ADSI сценарии
на языке VBScript), написанная
Майком Малкером (Mike
Mulcare).

Большинство
административных задач, связанных с
обычными пользователями, выполняются
при помощи инструмента Active
Directory
Users
And
Computers.
Чтобы создать с его помощью объект user,
найдите
контейнер, в котором вы хотите создать
объект, щелкните правой кнопкой мыши и
выберите New>User
(Новый>Пользователь). При создании
пользователя вы должны ввести Full
Name
(Полное имя) и User
Logon
Name
(Пользовательское имя для входа в
систему). Данные Full
Name
используются для заполнения атрибута
сп
пользователя,
данные User
Logon
Name
становятся значением sAMAccountName.
После
создания пользователя можно обращаться
к свойствам объекта для заполнения
дополнительных атрибутов пользователя,
назначение которых вполне понятно.
Наиболее важная вкладка, предназначенная
для управления учетной записью
пользователя — это вкладка Account
(Учетная запись) (см. рис. 10-3). Пользовательские
параметры настройки, доступные на
вкладке Account,
описаны в таблице 10-1.

Рис.
10-3. Вкладка Account для объекта
user

Табл.
10-1. Свойства учетной записи объекта
User
Параметры учетной записи Пояснение

Именование
объектов user в Active
Directory

Каждый объект в Active
Directory
должен иметь уникальное имя, но для
объекта user
это простое утверждение
может стать довольно сложным, потому
что объект user
фактически имеет
несколько возможных имен. В таблице
10-2 перечислены все имена, которые могут
быть связаны с именем пользователя
username,
и область действия,
в пределах которой это имя должно быть
уникальным.

Табл.
10-2. Требования уникальности имени
пользователя

UPN
является очень полезным именем для
пользователя. Пользователь может перейти
в любой домен леса и войти в систему,
используя свое UPN-имя,
вместо того чтобы при входе выбирать
свой домашний цомен. По умолчанию
UPN-суффикс
является также DNS-именем
для цомена. Вы можете изменять UPN-суффикс,
например, использовать различные
DNS-имена
внутри и вне системы для отображения в
интернете. В большинстве случаев
SMTP-адрес
электронной почты для всех пользователей
соответствует внешнему имени DNS.
Ваши пользователи, возможно, захотят
входить в домен, используя свои адреса
SMTP.
Вы можете включить эту опцию, добавляя
альтернативный UPN-суффикс
к лесу и назначая его всем учетным
записям пользователя. Чтобы создать
дополнительный UPN-суффикс,
откройте инструмент Active
Directory
Domains
And
Trusts
(Домены и доверительные отношения Active
Directory),
щелкните правой кнопкой мыши на записи
Active
Directory
Domains
And
Trusts,
расположенной в верхней левой области
окна, и выберите Properties
(Свойства) (см. рис. 10-4). Напечатайте любой
альтернативный UPN-суффикс,
который вы желаете использовать.

Рис.
10-4. Добавление альтернативного
UPN-суффикса к вашему лесу

Объекты
inetOrgPerson

Одним
из новых объектов Active
Directory
Windows
Server
2003 является объект inetOrgPerson.
Он
является основной учетной записью
пользователя, которая используется
другими каталогами с применением
облегченного протокола службы каталогов
(Lightweight
Directory
Access
Protocol
— LDAP)
и Х.500, совместимыми с требованиями
документа Request
for
Comments
(RFC)
2798. Вводя объект inetOrgPerson,
Microsoft
облегчил интеграцию службы Active
Directory
с другими каталогами и упростил
перемещение из каталогов в Active
Directory.

Примечание.
При обновлении леса Windows
2000 до Windows Server
2003 в схеме создается объект inetOrgPerson,
когда вы выполняете команду Adprep.exe
с ключом /forestprep. Утилиту
Adprep.exe можно
найти в папке I386 на
компакт-диске Windows Server
2003.

Объект
inetOrgPerson
может
быть создан с помощью инструмента Active
Directory
Users
And
Computers.
Для этого найдите контейнер, в котором
вы хотите создать объект, щелкните на
нем правой кнопкой мыши и выберите
New>InetOrgPerson.
При создании объекта inetOrgPerson
вы
должны ввести пользовательское имя
входа в систему и полное имя. Объект
inetOrgPerson
является
подклассом объекта user,
т.е.
он имеет все характеристики пользовательского
класса, включая и то, что он действует
как участник безопасности. Объекты
inetOrgPerson
управляются
и используются теми же способами, как
и объект user.

Учетные
записи Contact

Третий
тип объектов, который может использоваться
для представления пользователей в
Active
Directory,
— это объект contact
(контакт).
Объекты contact
отличаются
от объектов user
и
inetOrgPerson
тем,
что они не является участниками
безопасности (security
principal).
Обычно объекты contact
используются
только для информационных целей. Чтобы
создать объект contact
в инструменте Active
Directory
Users
And
Computers,
найдите контейнер, в котором вы хотите
создать объект, щелкните на нем правой
кнопкой мыши и выберите New>Contact.
При создании объекта contact
вы
должны ввести полное имя, можно также
заполнить множество атрибутов объекта,
включая номера телефона и адрес.

Контакты
полезны в нескольких сценариях. Например,
имеется пользователь, который не является
участником безопасности в вашем домене,
но чья контактная информация должна
быть доступной. Это могут быть консультанты,
работающие в вашем офисе и не имеющие
прав на вход в сеть, но их контактная
информация должна храниться в компании,
чтобы ее могли легко найти все сотрудники.
Контактами можно
пользоваться
для хранения общей информации лесов.
Предположим, что ваша компания слилась
с другой компанией, которая уже развернула
Active
Directory.
Можно создать доверительные отношения
между двумя лесами так, чтобы совместно
использовать сетевые ресурсы, но
глобальный каталог (GC)
каждого леса будет содержать только
учетные записи этого леса. Однако ваша
работа может требовать, чтобы все или
некоторые учетные записи обоих лесов
были видны пользователям. Для разрешения
этого используется инструмент Microsoft
Metadirectory
Services
(MMS),
чтобы создать объекты contact
для
каждой учетной записи пользователя из
другого леса и заполнить эти объекты
соответствующей контактной информацией.

Дополнительная
информация. Инструмент MMS
доступен через Microsoft
Consulting Services
(Консультационная служба) или через
существующего партнера MMS.
Для получения дополнительной информации
смотрите веб-страницу http://
www.microsoft.com/windows2000
/technologies/directory
/ mms/’default,
asp.

Другой
вариант использования объекта contact
возникает
при реализации Microsoft
Exchange
2000 Server,
который, в отличие от более ранних
версий, не имеет своей собственной
службы каталога. Вместо этого Exchange
2000 Server
требует наличия Active
Directory,
и вся информация сервера хранится в
каталоге Active
Directory.
В Exchange
Server
5.5 и более ранних версиях вы можете
создавать собственного получателя.
Собственный получатель имеет адрес
электронной почты, вы можете посылать
ему почту, но у него нет почтового ящика
на вашем Exchange-сервере.
Если вы используете Exchange
2000 Server,
то объект contact
с
поддержкой электронной почты заменит
объект собственного получателя. Когда
вы включаете почту для объекта contact,
вы
назначаете учетной записи адрес
электронной почты, и он становится
видимым для почтового клиента. Когда
вы посылаете почту объекту contact,
она
доставляется по правильному адресу
электронной почты.

Управление
группами

Основная
функция Active
Directory
состоит в санкционировании доступа к
сетевым ресурсам. В конечном счете,
доступ к сетевым ресурсам основан на
индивидуальных учетных записях
пользователя. В большинстве случаев вы
не захотите управлять доступом к.
ресурсам с их помощью. В крупной компании
это может привести к слишком большой
загрузке администратора, кроме того,
списки управления доступом (ACL)
на сетевых ресурсах быстро стали бы
неуправляемыми. Поскольку управление
доступом к сетевым ресурсам с помощью
индивидуальных учетных записей трудно
поддается обработке, вы будете создавать

объекты
group
для
одновременного управления большими
совокупностями пользователей.

Типы
групп

В
системе Windows
Server
2003 имеется два типа групп, называемых
группами
распространения (distribution
group)
и группами
безопасности (security
group).
Когда вы создаете новый объект group,
вам
необходимо выбрать тип создаваемой
группы (см. рис. 10-5).

Рис.
10-5. Создание новой группы в инструменте
Active
Directory
Users
And
Computers

Стандартным
типом группы в Active
Directory
является группа безопасности. Группа
безопасности является участником
безопасности и может использоваться
для назначения разрешений на сетевые
ресурсы. Группа распространения не
может быть участником безопасности,
поэтому она не очень полезна. Вы
используете данную группу, если установили
Exchange
2000 Server
и должны объединить пользователей
вместе, чтобы можно было посылать
электронную почту всей группе. Таким
образом, группа распространения имеет
возможность получать почту, а вы можете
добавлять пользователей, поддерживающих
электронную почту, и контакты к этой
группе, а также посылать электронные
сообщения одновременно всем пользователям
группы.

Примечание.
Группа распределения похожа на список
рассылки в Exchange Server
5.5, но не является точным эквивалентом
списка рассылки Exchange 2000
Server. В Exchange
Server 5.5 вы можете использовать
список рассылки, чтобы собрать группу
пользователей в почтовых целях, а также
для назначения разрешений на общие
папки Exchange-сервера. В
Exchange 2000 Server
вы должны использовать группу безопасности
с поддержкой электронной почты, если
нужно назначить разрешения на общую
папку.

Вы
можете преобразовывать группы
распространения в группы безопасности
и обратно, пока ваш домен работает на
функциональном уровне Windows
2000 native
(естественный). (Для получения дополнительной
информации о функциональных уровнях
см. табл. 2-1, 2-2 в гл. 2.) Если группа содержит
учетные записи пользователей или
контакты, то объекты user
или
contact
не
изменяются, когда изменяется тип группы.

Примечание.
Поскольку группы распространения
имеют ограниченное использование в
Active Directory,
остальная часть этой главы будет
посвящена группам безопасности.

Область
действия группы

В
Active
Directory
Windows
Server
2003 вы можете создавать группы с тремя
различными областями действия: доменной
локальной, глобальной и универсальной.
В таблице 10-3 перечислены характеристики
каждой области действия группы.

Примечание.
Универсальные группы доступны только
в том случае, если домен работает на
функциональном уровне Windows
2000 native. Вложенные группы
(nested groups} —
это группы, которые являются членами
других групп. Опции, предназначенные
для вложения групп, зависят от
функционального уровня домена. Например,
вы можете вложить глобальную группу в
доменную локальную группу на любом
функн|иональном уровне, но вкладывать
глобальную группу внутрь другой
глобальной группы можно только в том
случае, если домен работает на
функциональном уровне Windows
2000 native, или более высоком.

Локальные
группы домена являются полнофункциональными
только в том случае, когда домен поднят
на уровень Windows
2000 native.
Если домен выполняется на смешанном
(mixed)
уровне Windows
2000, локальные группы домена работают
точно так же, как локальные группы на
контроллерах домена в Windows
NT
4. Группа может использоваться для
назначения разрешений на ресурсы только
контроллеров домена, но не других
компьютеров, расположенных в домене.
Если домен был переключен на естественный
функциональный уровень Windows
2000, то локальные группы домена могут
использоваться для предоставления
разрешений ресурсам, расположенным на
любом сервере с Windows
2000 или с Windows
Server
2003.

Табл.
10-3. Область действия групп Active
Directory

Планирование.
Вы используете группы по-разному, в
зависимости от того, какие серверы
развернуты в вашей среде. Если ваш домен
содержит только серверы с Windows
2000 и Windows Server
2003, используйте локальные группы домена
для назначения разрешений на все ресурсы,
расположенные на этих серверах. Однако
вы также можете использовать локальные
группы на серверах-членах домена.
Обратите внимание, что необходимо
использовать локальные группы на
серверах Windows NT.
В любом случае локальные группы могут
содержать глобальные группы из любого
домена в лесе. Если вы создаете локальные
группы на серверах с Windows
2000 или с Windows Server
2003, группы могут содержать универсальные
группы из любого домена леса или из
доверенного леса.

Функциональные
возможности глобальных групп в Active
Directory
Windows
Server
2003 и Active
Directory
Windows
2000 остаются согласующимися между собой.
Если домен был переключен на функциональный
уровень Windows
2000 native,
вы можете вкладывать глобальные группы
из того же самого домена внутрь других
глобальных групп. Если ваш домен работает
на функциональном уровне Windows
2000 mixed
или native,
вы можете использовать эту опцию, чтобы
преодолеть ограничение числа пользователей
в пять тысяч на группу. Если группа очень
большая, можно создать несколько подгрупп
и вложить их в одну группу. Вложение
групп может быть полезным и в других
обстоятельствах. Например, ваша компания
содержит несколько уникальных деловых
подразделений, в каждом из которых есть
менеджеры и исполнители. Вы можете
создать глобальную группу Managers
для каждого подразделения, а затем
вложить эти глобальные группы в единую
для компании группу менеджеров.

Универсальные
группы являются наиболее гибкими
группами в Active
Directory,
но эта гибкость дается «не бесплатно».
Они могут содержать любого члена домена
леса и использоваться для назначения
разрешений на ресурсы, расположенные
в любом домене леса. Для этого список
членства для всех универсальных групп
должен храниться в глобальном каталоге
(GC)
как отдельный атрибут. Если ваш домен
работает на функциональном уровне
Windows
2000 native,
то каждый раз после добавления к
универсальной группе нового члена весь
список членов должен копироваться на
другие контроллеры домена. Для
универсальной группы с тысячами
пользователей это может привести к
значительной репликации. Однако если
домен был поднят на функциональный
уровень Windows
Server
2003, то контроллеры домена, на которых
выполняется Windows
Server
2003, будут реплицировать только изменения
в списке членства.

Использование
универсальных групп создает и другие
осложнения. Поскольку они используются
в любом месте леса, а члены группы могут

находится
также в любой части леса, то GC-сервер
должен быть доступен всякий раз, когда
пользователь входит в домен, иначе вход
не будет выполнен. Эта проблема решена
в Active
Directory
Windows
Server
2003. Если домен переключен на функциональный
уровень Windows
Server
2003, вы можете сконфигурировать все
контроллеры домена сайта так, чтобы они
кэшировали универсальное групповое
членство, когда пользователь входит в
домен. Если GC-сервер
недоступен, локальный контроллер домена
может использовать кэшированное
универсальное групповое членство для
подтверждения подлинности пользователя.
Если пользователь ранее не входил на
локальный контроллер домена, то эта
информация будет недоступна, и пользователь
не сможет войти в систему.

Предостережение.
Если пользователь входит в систему,
используя кэшированную информацию
универсальной группы, но разрешения
универсальной группы были изменены, то
новые разрешения не применятся к
локальному пользователю до тех пор,
пока универсальная групповая информация
не будет модифицирована с GC-сервера.

Active
Directory
Windows
Server
2003 содержит большое количество встроенных
учетных записей групп в контейнере
Users
(Пользователи) и Builtin
(Встроенный). Эти группы имеют разнообразные
цели и заданные по умолчанию разрешения
в пределах домена. Только две группы
при установке домена содержат некоторых
членов — локальная группа домена
Administrators
(Администраторы) и глобальная группа
Domain
Admins
(Администраторы домена). Учетная запись
Administrator,
под которой создавался домен, добавляется
к обеим группам, а группа Domain
Admins
добавляется к группе Administrators.
Если домен является первым доменом в
лесе, то учетная запись Administrator
также добавляется к глобальной группе
Enterprise
Admins
(Администраторы предприятия) и к
глобальной группе Schema
Admins
(Администраторы схемы).

Создание
проекта группы безопасности

В
реализации Active
Directory
проект группы безопасности является
наиболее детальным в рамках всего
проекта. Его создание может быть очень
обстоятельной и кропотливой работой,
особенно в большой организации. В данном
разделе обсуждаются общие принципы
создания проекта группы безопасности
для вашей организации.

На
первом этапе создания проекта нужно
определить область действия группы. Во
многих компаниях возникают серьезные
дискуссии о том, как использовать
различные группы. А использовать группы
в Active
Directory
можно очень гибко. Например, в единственном
домене пользователи могут быть добавлены
к группе с любой областью действия в
домене, группы могут использоваться
для назначения разрешений на лю-

бой ресурс,
находящийся в домене. В среде с несколькими
доменами имеется несколько вариантов
для использования универсальных,
глобальных и локальных групп домена.

Для большинства
компаний лучший способ использовать
области действия групп состоит в
выполнении следующих действий.

• Добавьте
  пользователей к глобальным или
  универсальным группам.

• Добавьте глобальные
  или универсальные группы к локальным
  группам домена.

• Назначьте доступ
  к ресурсам, используя локальные группы
  домена.

Некоторых компании
сопротивляются созданию групп домена,
даже если речь идет об одной группе, но
имеются серьезные причины, по которым
лучше использовать две группы.

Если нужно создать
группы домена, то имейте в виду, что
глобальные или универсальные группы
должны включать пользователей, имеющих
что-либо общее. Обычно они создаются на
базе делового подразделения или на
основе общей функциональной цели.
Например, все члены коммерческого отдела
обычно имеют больше общего друг с другом,
чем с членами других отделов. Им требуется
доступ к одним и тем же ресурсам и
одинаковое программное обеспечение.
Групповое членство часто также
организуется на функциональной основе.
Все менеджеры могут быть сгруппированы
вместе независимо от того, к какому
подразделению они принадлежат. Все
члены проектной группы, вероятно, будут
нуждаться в доступе к одним и тем же
ресурсам проекта.

Доменные
локальные группы обычно используются
для назначения разрешений на доступ к
ресурсам. Во многих случаях разрешения
тесно связаны с деловыми отделами или
функциями. Например, всем членам
коммерческого отдела требуется доступ
к одним и тем же общим папкам продаж,
всем членам проектной группы — к одной
и той же проектной информации. В других
случаях доступ к ресурсам может пересекать
обычные деловые или функциональные
границы. Компания может использовать
общую папку, к которой каждый в компании
имеет доступ Read
Only
(Только для чтения), или нескольким
отделам и проектным группам нужен доступ
к одной и той же общей папке. Создавая
доменную локальную группу, которая
относится к определенному специфическому
ресурсу, вы можете легко управлять
доступом к нему: добавлять соответствующие
глобальные или универсальные группы к
локальной группе домена.

Часто
пользователям требуется различный
уровень доступа к совместно используемым
папкам. Например, компания имеет общую
папку Human
Resource
(Кадры), где хранится вся информация о
полисах служащих. Все пользователи
должны иметь возможность читать
информацию, хранящуюся в папке, но только
члены отдела кадров могут изменять эту
информацию. В этом случае создаются две
доменные локальные группы для общей
папки. Одной группе назначается разрешение
Read
Only
(Только для чтения), другой — Full
Control
(Полное управление) или Modify
(Изменение). Затем глобальная группа
Human
Resources
может быть добавлена к доменной локальной
группе, которой было назначено разрешение
Full
Control,
а все другие глобальные группы, которые
нуждаются только в доступе Read
Only,
— к доменной локальной группе Read
Only.

Использование
глобальных и доменных локальных групп
означает, что вы можете разделять
владение глобальными группами и доменными
локальными группами. Важной проблемой
безопасности в любой большой корпорации
является обеспечение того, чтобы только
правильные пользователи имели доступ
к любой общей информации. Первый шаг
заключается в создании владельца (owner)
группы, также известного как authorizer
(уполномоченный). Только владелец может
разрешать любую модификацию в конфигурации
группы. Владельцем глобальной группы
обычно является администратор отдела.
Владельцем глобальной группы, основанной
на участии в проекте, — менеджер проекта.
Только они могут разрешить любое
изменение в списке членов.

Владельцем доменной
локальной группы является владелец
данных или ресурсов*. Если каждый ресурс
в вашей компании имеет владельца,
являющегося единственным человеком,
который может разрешить модификации к
разрешениям на доступ к общему ресурсу,
то он также становится владельцем
доменной локальной группы, которая
связана с ресурсом. Прежде чем глобальная
или универсальная группа будет добавлена
к доменной локальной группе, этот
владелец должен одобрить модификацию.

Использование
двух уровней групп особенно важно в
сценариях, когда имеется несколько
доменов и пользователям каждого домена
требуется доступ к общему ресурсу в
одном из доменов. Как показано на рисунке
10-6, вы можете создать глобальную группу
в каждом домене, а затем добавить эту
глобальную группу к доменной локальной
группе того домена, в котором расположен
ресурс.

Примечание.
Windows NT
использует глобальные и локальные
группы, но не использует доменные
локальные группы. Если в домене имеются
серверы-члены домена с системой Windows
NT, вы должны использовать
локальные группы на каждом сервере.
Если у вас имеются серверы с системами
Windows 2000 или Windows
Server 2003, и ваш домен работает
на функциональном уровне Windows
2000 native, вы должны по
возможности использовать доменные
локальные группы, которые в этом случае
охватывают несколько серверов. Если вы
используете доменные локальные группы
вместо локальных групп, вы можете
переместить ресурс между серверами и
использовать для назначения разрешений
ту же самую доменную локальную группу.

Рис.
10-6. Конфигурирование доступа к ресурсу
с помощью глобальных и доменных локальных
групп с несколькими доменами

Одним
из основных вопросов при создании
проекта группы безопасности является
вопрос о том, когда использовать
глобальные группы, а когда — универсальные.
В некоторых случаях у вас нет выбора.
Например, в Exchange
2000 Server
группы, поддерживающие электронную
почту, заменяют списки рассылки,
используемые в Exchange
Server
5.5 для группировки получателей электронной
почты и назначения доступа к общим
папкам. Если вы используете группы,
поддерживающие электронную почту для
Exchange
2000 Server,
вы должны использовать уни-

версальную
группу. При переходе от Exchange
Server
5.5 к Exchange
2000 Server
следует заменить каждый список рассылки
из Exchange
Server
5.5 универсальной группой, поддерживающей
электронную почту. Если имеется более
одного домена, обязательно используйте
универсальные группы для групп,
поддерживающих электронную почту.

В
большинстве случаев наилучшей практикой
при создании проекта универсальной
группы в Active
Directory
Windows
2000 являлась минимизация использования
универсальных групп, особенно если
имелись сайты, связанные медленными
сетевыми подключениями. Причина этого
была связана с проблемами репликации
GC-каталога.
Эта рекомендация все еще верна для леса,
работающего на функциональном уровне
Windows
2000. Если ваш лес Windows
Server
2003 был переключен на уровень Windows
Server
2003 или Windows
Server
2003 interim
(временный), то проблема, связанная с
репликацией, больше не существует. Кроме
того, опция, включающая кэширование
GC-каталога,
уменьшает потребность в развертывании
GC-серверов
в каждом сайте. Поэтому решение, касающееся
использования универсальных или
глобальных групп, не особо критично для
Active
Directory
Windows
Server
2003. В большинстве случаев можно
использовать глобальные и универсальные
группы почти взаимозаменяемо.

Управление
компьютерами

Еще
один тип объектов Active
Directory
— это объект computer
(компьютер).
В Active
Directory
имеется два типа таких объектов. Первый
— это объект domain
controller
(контроллер
домена), который создается при назначении
сервера контроллером домена. По
умолчанию
объекты
domain
controller расположены
в
OU Domain Controllers. Вы
можете перемещать контроллеры домена
из этой OU,
но делать это следует с осторожностью.
Многие параметры настройки безопасности
контроллера домена сконфигурированы
в OU
Domain
Controllers,
и перемещение контроллера домена из
этого контейнера может серьезно изменить
настройку безопасности.

Второй
тип объектов computer
—
это объекты, представляющие все прочие
компьютеры, которые являются членами
домена. Учетные записи этих компьютеров
создаются в Active
Directory
в заданном по умолчанию контейнере
Computers.
Обычно объекты computer
из
этого контейнера перемещаются в
определенные OU,
чтобы вы могли управлять компьютерами
разными способами. Например, будет
различаться управление серверами и
рабочими станциями вашей компании,
поэтому нужно создать две отдельных
организационных единицы (OU).
Зачастую рабочие станции разбиваются
на более мелкие группы. Рабочим станциям
коммерческого отдела будут требоваться
приложения, отличные от приложений,
необходимых рабочим станциям технического
отдела. Создавая две OU
и помещая рабочие станции в соответствующие
OU,
вы

можете разными
способами управлять двумя типами рабочих
станций. Компьютерные учетные записи
создаются в домене при присоединении
компьютера к домену, но могут создаваться
и предварительно.

Примечание.
Все компьютеры, на которых выполняются
системы Windows NT,
Windows 2000, Microsoft
Windows XP
Professional и Windows
Server 2003, должны иметь
компьютерную учетную запись в домене.
Компьютеры, на которых выполняются
системы Microsoft Windows
95 или Microsoft Windows
98, не имеют учетных записей.

Вы
будете редко управлять компьютерными
объектами в Active
Directory
напрямую. Если щелкнуть правой кнопкой
мыши на компьютерной учетной записи в
Active
Directory,
вы увидите, что имеется совсем немного
опций управления. Одна из опций —
переустановка учетной записи компьютера.
Используйте ее
осторожно,
потому что при переустановке нарушается
связь компьютера с определенным доменом,
и компьютер должен заново присоединяться
к домену.

Очень
полезная опция позволяет любому
компьютеру из Active
Directory
обратиться к приложению Computer
Management
(Управление компьютером). Найдите
компьютер в инструменте Active
Directory
Users
And
Computers,
щелкните правой кнопкой мыши на значке
нужной рабочей станции или сервера и
выберите Manage
(Управление). Откроется ММС-консоль
Computer
Management,
содержащая параметры выбранной вами
рабочей станции или сервера.

Примечание.
Тот факт, что вы не будете сильно
заняты администрированием компьютерных
объектов в Active Directory,
вовсе не подразумевает, что вы не будете
использовать Active Directory
для управления компьютерами. Главы 11,
12 и 13 рассматривают с групповые политики,
обеспечивающие мощныее инструментальные
средства управления компьютерами.

Управление
объектами printer

Третья
группа объектов Active
Directory
состоит из объектов printer.
Вы
можете создать объект printer
путем
опубликования принтера в Active
Directory,
при этом сохраняются такие атрибуты
принтера, как место его расположения,
а также свойства принтера (скорость
печати, возможность цветной печати и
другие). Основанием для публикации
объектов printer
в
Active
Directory
является облегчение для пользователей
поиска и соединения с сетевыми принтерами.

Публикация
принтеров в Active Directory

По
умолчанию любой принтер, установленный
на сервере с Windows
2000 или Windows
Server
2003, к которому разрешен общий доступ,
автоматически публикуется в Active
Directory.
Если этого не требуется, можно очистить
опцию List
In
The
Directory
(Зарегистрировать в каталоге) в окне
Properties
(Свойства) принтера. Однако если принтер
расположен на сервере с системой Windows
NT
или другой операционной системой, вы
должны вручную опубликовать принтер в
Active
Directory.
Чтобы выполнить это, найдите объект
container,
в
котором вы хотите опубликовать объект
printer,
щелкните
на нем правой кнопкой мыши и выберите
New
(Новый)>Printer
(Принтер). Затем напечатайте UNC-путь
на общедоступный компьютер.

Совет.
Если вы используете серверы печати
Windows NT и не
хотите модернизировать их до Windows
2000 или Windows Server
2003, нужно вручную опубликовать все
принтеры на серверах печати Windows
NT в Active
Directory. Компания Microsoft
создала сценарий с именем Pubprn.vbs,
предназначенный для автоматизации
процесса публикации. Этот сценарий
расположен в папке %systemroot
%system32.

Публикация
принтера в Active
Directory
нужна для поиска пользователями объектов
printer
в
Active
Directory.
После публикации принтера информация
о нем автоматически регистрируется в
окне Properties
(Свойства) принтера, доступного из
инструмента Active
Directory
Users
And
Computers.
Эта информация нужна пользователю,
который ищет определенный принтер,
например, цветной принтер, который
печатает, по крайней мере, шесть страниц
в минуту. Если эта информация хранится
в Active
Directory,
клиент может использовать опцию A
Printer
On
The
Network
(Сетевой принтер) операции Search
(Поиск), выбранной из меню Start
(Пуск), чтобы найти все принтеры,
удовлетворяющие этим требованиям. На
рисунке 10-7 показано окно на рабочей
станции с системой Windows
ХР Professional.
Как только сетевой принтер найден,
пользователь может щелкнуть правой
кнопкой мыши на принтере и выбрать
Connect
(Подключить), чтобы установить принтер
на машине клиента.

Если
объекты printer
опубликованы
в Active
Directory,
для управления ими используется редактор
Group
Policy
Object
Editor
(см. рис. 10-8).

Две
опции, которые вы можете конфигурировать,
используя групповые политики, управляют
удалением принтера. Они касаются
автоматического удаления объектов
printer
таз
Active
Directory,
если объект printer
устаревает.
Например, если принтер удален из сервера
печати, или если он больше недоступен
на сервере для совместного пользования,
удаление принтера удалит объект printer.
По
умолчанию один из контроллеров домена
Active
Directory
пробует входить в контакт с каж-

дым
сервером печати каждые 8 часов, чтобы
подтвердить правильность информации
о принтере. Если сервер печати не
отвечает, объект printer
удаляется
из Active
Directory.
При каждом запуске сервера печати
Windows
2000, или более поздней версии, он
автоматически повторно регистрирует
общие принтеры на сервере в Active
Directory.
Вы можете сконфигурировать параметры
удаления принтера, используя редактор
Group
Policy
Object
Editor.

Рис.
10-7. Поиск принтеров в Active
Directory

Рис.
10-8. Конфигурирование параметров настройки
принтера с помощью редактора Group
Policy Object
Editor

Одна
из наиболее интересных опций Active
Directory,
предназначенная для управления объектами
printer
— это опция, позволяющая автоматически
показывать местоположение принтера
для пользователей, выполняющих поиск
принтера. Во многих компаниях, имеющих
несколько офисов, есть служащие, которые
путешествуют между ними. Большинство
компаний имеет комнаты для собраний,
которые находятся в различных частях
здания. Всякий раз, когда пользователи
перемещаются из одной части компании
в другую, они должны иметь возможность
печатать. Если пользователь не знает,
где находятся принтеры, предназначенные
для печати в данном месте, то поиск
ближайшего принтера может занять
некоторое время.

Поиск
принтеров можно упростить, назначая
каждому принтеру место в Active
Directory,
а затем используя расположение
пользователя для предоставления списка
принтеров, расположенных близко к нему.
Эти функциональные возможности основаны
на конфигурации сайта в вашей сети.

Чтобы включить
мониторинг места расположения принтера,
выполните следующие действия.

1. Откройте
   инструмент Active
   Directory
   Sites
   And
   Services
   и найдите объект subnet
   (подсеть),
   в котором включите мониторинг
   местоположения принтеров. Щелкните
   правой кнопкой мыши на объекте subnet
   и
   выберите Properties
   (Свойства). Щелкните на вкладке Location
   (Местоположение) и введите значение
   location
   (место
   расположения) для этой подсети. Запись
   места расположения должна иметь формат:
   location/sublocation
   (Общее
   расположение/детализированное
   расположение) (например, Главный
   офис/Третий этаж).

2. Используйте
   редактор Group
   Policy
   Object
   Editor
   для включения политики Pre-Popula-te
   Printer
   Search
   Location
   Text
   (Предварительно заполнить текст,
   указывающий место расположения принтера
   при поиске) для выбранного контейнера.
   В большинстве случаев это делается на
   уровне домена.

3. На
   вашем сервере печати обратитесь к окну
   Properties
   для каждого принтера. На вкладке General
   (Общее) вы можете заполнить место
   расположения принтера. Если первые два
   шага этой процедуры завершены, можете
   щелкнуть на Browse
   (Просмотр), чтобы найти место расположения
   принтера. Можно добавить больше деталей
   к описанию места расположения принтера,
   чтобы оно было лучше определено
   (например, Главный офис/Третий этаж/Внешняя
   комната для собраний 5).

4. После
   того как вы включили мониторинг места
   расположения принтеров, пользователи
   могут легко находить ближайший к ним
   принтер. Когда пользователь запускает
   Add
   Printer
   Wizard
   (Мастер добавления принтера) и ищет
   принтер в каталоге, атрибут Location
   (Место расположения) заполняется в
   соответствии с текущим сайтом
   пользователя. На рисунке 10-9 показано
   окно клиента Windows
   ХР Professional.
   Пользователь может щелкнуть Browse
   для нахождения более точного места
   расположения принтера.

Рис.
10-9. Поиск объекта printer
в Active Directory
с помощью атрибута Location

Управление
опубликованными общими папками

Еще
один объект, который можно публиковать
в Active
Directory
— это объект shared
folder
(общая
папка). Чтобы опубликовать общую папку
в Active
Directory,
найдите нужный контейнер. Щелкните
правой кнопкой мыши на контейнере и
выберите New
(HoBbm)>Shared
Folder
(Общая папка). Затем напечатайте имя
объекта Active
Directory,
а также UNC-путь
для общей папки. После того как в Active
Directory
будет создан объект shared
folder,
пользователи могут просматривать и
искать его в Active
Directory.
Найдя объект shared
folder,
пользователи
щелчком правой кнопкой мыши на объекте
могут отобразить диск на общую папку.

Основное
преимущество публикации общей папки в
Active
Directory
состоит в том, что пользователи могут
искать общие ресурсы, основываясь на
разнообразных свойствах. Когда вы
создаете объект shared
folder,
вы
можете дать описание общей папки (см.
рис. 10-10). После создания общей папки
откройте окно Properties
(Свойства) для указания ключевых слов,
связанных с общей папкой. Когда клиентам
потребуется найти общую папку, они могут
сделать поиск в Active
Directory,
используя параметр, основанный на имени
объекта, ключевых словах или описании.

Рис.
10-10. Публикация общей папки в Active
Directory

Ограничение,
связанное с публикацией общих папок в
Active
Directory,
состоит в том, что, если общая папка
переместится на другой сервер, то все
клиенты, имеющие диски, отображенные
на эту общую папку, обнаружат, что
отображение больше не работает. Это
произойдет, потому что при отображении
клиентского диска на общую папку в
Active
Directory
используется UNC-путь
к ресурсу. Например, вы можете создать
и опубликовать общую папку по имени
Saleslnfo,
которая указывает на \Server1SalesInfo.
Когда пользователь находит эту общую
папку в Active
Directory
и отображает диск, то для отображения
диска используется синтаксис
\ServerlSalesInfo.
Если папка переместится, отображение
диска перестанет действовать, даже если
вы сделаете изменения в Active
Directory
так, чтобы объект указывал на новое
место расположения.

Административные
усовершенствования службы Active
Directory Windows
Server 2003

Система
Windows
2000 содержала первый выпуск Active
Directory,
и многие из средств администрирования,
которые поставлялись с Windows
2000, имели ограничения в некоторых важных
аспектах. Средства администрирования
Windows
Server
2003 обеспечивают усовершенствованные
функциональные возможности.

• Функциональность
  Drag
  and
  drop.
  Наиболее
  популярной новой функцией Active
  Directory
  Windows
  Server
  2003 является перетаскивание объектов
  в пределах инструментов администрирования
  Active
  Directory.
  Теперь вы можете перемещать пользователя
  из одной OU
  в другую путем перетаскивания значка
  учетной записи пользователя. Вы можете
  добавить существующего пользователя
  к группе перемещением значка учетной
  записи пользователя в учетную запись
  группы.

• Одновременное
  редактирование нескольких элементов.
  Еще
  одна новая функция — возможность
  редактировать несколько объектов
  одновременно. В Active
  Directory
  Windows
  2000 вы можете изменять только один объект
  за раз. С помощью инструмента
  администрирования Active
  Directory
  Users
  And
  Computers
  Windows
  Server
  2003 можно изменять одновременно большое
  число объектов. Предположим, что все
  пользователи отдела Marketing
  (Маркетинг) переезжают в другое офисное
  здание, и вы должны заменить адрес для
  всех учетных записей пользователей.
  Используйте средство поиска, чтобы
  найти учетные записи пользователей, у
  которых атрибут Department
  установлен
  на значение Marketing.
  Затем
  выделите все учетные записи в окне
  результатов поиска, щелкните на них
  правой кнопкой мыши и выберите Properties
  (Свойства). Теперь вы можете изменять
  общие атрибуты для всех учетных записей
  одновременно. Ваш домен должен работать
  на функциональном уровне Windows
  Server
  2003, чтобы позволить одновременное
  редактирование нескольких элементов.

• Сохранение
  запросов. В
  больших организациях с тысячами
  пользователей администраторы всегда
  находят объекты Active
  Directory
  с помощью поиска, а не просмотра. Опция
  сохранения запросов означает, что вы
  можете однажды создать запрос на поиск,
  а затем сохранить его для повторного
  использования в другое время. Возможно,
  вы захотите выполнять ежемесячную
  проверку, чтобы узнать, какие учетные
  записи пользователя не использовались
  для входа в домен в последние 30 дней.
  Щелкните правой кнопкой мыши на
  контейнере Saved
  Query
  (Сохраненные запросы) и выберите New
  (Новый)><Querу
  (Запрос), чтобы создать запрос для поиска
  этой информации, а затем один раз в
  месяц просто щелкните на запросе, чтобы
  увидеть самый последний список.

• Инструменты
  командной строки Active
  Directory
  Windows
  Server
  2003 включают
  множество новых средств, предназначенных
  для управления объектами Active
  Directory:
  утилиты Dsadd
  и Dsmod
  (для добавления или изменения объектов
  Active
  Directory
  соответственно), Dsrm
  (для удаления объектов Active
  Directory),
  Dsmove
  (для перемещения объектов из одного
  контейнера в другой), Dsquery
  (для поиска списка объектов) и Dsget
  (для отображения атрибутов объекта).
  Смотрите Help
  And
  Support
  Center
  (Центр справки и поддержки) для получения
  детальной информации о том, как
  использовать эти инструменты.

Резюме

В этой
главе приведен краткий обзор стандартных
объектов Active
Directory
Windows
Server
2003 и процедур, позволяющих ими управлять.
Наибольшие административные усилия вы
потратите на управление этими объектами.
В частности, вы будете управлять учетными
записями пользователей и групп по мере
притока и оттока служащих из вашей
компании или по мере создания новых
групп для защиты сетевых ресурсов. Одно
из осложнений, с которыми вы столкнетесь,
— у вас может быть три различных объекта,
представляющих индивидуальных
пользователей: объекты user,
inetOrgPerson
и
contact.
Кроме
того, имеется два типа групп и три области
действия, с которыми вам придется
работать. Ваше время будет также занято
управлением такими объектами как
computer,
printer
или
shared
folder.

Active Directory Users and Computers in Windows XP and subsequent operating systems contain a node used for creating saved queries. You can create queries, save them, and export your search results. To create a query:

1. Open Active Directory Users and Computers from the Administrative Tools menu in Windows Server 2003.

2. At the top of the left pane, right-click Saved Queries and select New | Query.

3. In the New Query dialog, enter a name for your query and description.

4. In the middle of the New Query dialog, you can select the query root for your search; by default, this will be the domain root. You can click the Browse button to select another root for your search; for example, you can select an OU to begin your search on. The more restrictive you are with selecting just the specific root you want to search, the faster your search will execute.

5. Click the Define Query button.

6. In the Find Common Queries dialog (see Figure 19-2), you can create filters on objects in order to find your information.

Figure 19-2. Creating a filter to find information in Active Directory

Once you have the Find Common Queries dialog open, you can select a variety of options to build filters for your search. There are three tabs you can select from: User, Computers, and Groups. Within each of these tabs, you can conduct basic searches on the objects, such as disabled accounts. In addition, you can select Custom Search from the Find drop-down list box, which allows you to create filters on the various attributes on the directory objects.

After creating your search, you can then save the search for viewing and exporting at any time.

Most of your users will not have access to Active Directory Users and Computers. In absence of this, they can use the Search feature of Windows XP to search Active Directory. Selecting Start | Search opens a search window that allows you to search for computers, printers, and users on your network.

You may encounter instances in which you need to repair or modify information contained in your Active Directory. Windows Server 2003 provides you with a couple of tools you should be aware of as an administrator: NTDSUtil and DCDiag.

NTDSUtil is a command-line tool for modifying and managing your Active Directory structure. This tool is primarily used for database maintenance on Active Directory, for removing metadata information contained in AD and controlling single-master operations. NTDSUtil.exe is located in the %SystemRoot%System32 folder.

To start NTDSUtil, open a command prompt and enter the following command:

| ntdsutil

You can type help at the prompt to view the options available:

Continue reading here: Maintaining Active Directory

Was this article helpful?

Короче говоря, AD позволяет использовать единую точку администрирования для всех публикуемых ресурсов. В основе AD используется стандарт именования X.500, система доменных имён – Domain Name System (DNS) для определения местоположения, и в качестве основного протокола используется Lightweight Directory Access Protocol (LDAP).

AD объединяет логическую и физическую структуру сети. Логическая структура AD состоит из следующих элементов:

• организационное подразделение (organizational unit)
  – подгруппа компьютеров, как правило, отражающая структуру компании;
• домен (domain)
  – группа компьютеров, совместно использующих общую базу данных каталога;
• дерево доменов (domain tree)
  – один или несколько доменов, совместно использующих непрерывное пространство имен;
• лес доменов (domain forest)
  – одно или несколько деревьев, совместно использующих информацию каталога.

К физической структуре относятся следующие элементы:

• подсеть (subnet)
  – сетевая группа с заданной областью IP-адресов и сетевой маской;
• сайт (site)
  – одна или несколько подсетей. Сайт используется для настройки доступа к каталогу и для репликации.

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. AD использует только контроллеры доменов. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена. Схема и данные конфигурации реплицируются во все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в глобальный каталог (GC). Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится GC, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (который реплицируется только между серверами GC), а также все объекты каталога и свойства для своего домена.

Контроллеры домена могут иметь разные роли хозяев операций. Хозяин операций решает задачи, которые неудобно выполнять в модели репликации с несколькими хозяевами.

Существует пять ролей хозяина операций, которые могут быть назначены одному или нескольким контроллерам доменов. Одни роли должны быть уникальны на уровне леса, другие на уровне домена.

В каждом лесе AD существуют следующие роли:

• Хозяин схемы (schema master)
  – управляет обновлениями и изменениями схемы каталога. Для обновления схемы каталога необходим доступ к хозяину схемы. Чтобы определить, какой сервер в данное время является хозяином схемы в домене, нужно в окне командной строки набрать команду
  dsquery server -hasfsmo schema
• Хозяин именования доменов (domain naming master)
  – управляет добавлением и удалением доменов в лесу. Чтобы добавить или удалить домен требуется доступ к хозяину именования доменов. Чтобы определить, какой сервер в данное время является хозяином именования доменов, в окне командной строки введите
  dsquery server -hasismo name

Эти роли, общие для всего леса в целом и являются в нем уникальными.

В каждом домене AD обязательно существуют следующие роли:

• Хозяин относительных идентификаторов (relative ID master)
  – выделяет относительные идентификаторы контроллерам доменов. Каждый раз при создании объекта пользователя, группы, или компьютера, контроллеры назначают объекту уникальный идентификатор безопасности, состоящий из идентификатора безопасности домена и уникального идентификатора, который был выделен хозяином относительных идентификаторов. Чтобы определить, какой сервер в данное время является хозяином относительных идентификаторов домена, в командной строке введите
  dsquery server -hasfsmo rid
• Эмулятор PDC (PDC emulator)
  – в смешанном или промежуточном режиме домена действует как главный контроллер домена Windows NT. Он аутентифицирует вход в Windows, обрабатывает изменения пароля и реплицирует обновления на BDC, если они есть. Чтобы определить, какой сервер в данное время является эмулятором PDC домена, в командной строке введите
  dsquery server -hasfsmo pdc
• Хозяин инфраструктуры (infrastructure master)
  – обновляет ссылки объектов, сравнивая данные своего каталога с данными GC. Если данные устарели, он запрашивает из GC обновления и реплицирует их на остальные контроллеры домена. Чтобы определить, какой сервер в данное время является хозяином инфраструктуры домена, в командной строке введите
  dsquery server -hasfsmo infr

Эти роли, общие для всего домена и должны быть в нем уникальны.

Роли хозяев операций назначаются автоматически первому контроллеру в домене, но могут быть в дальнейшем переназначены вами. Если в домене только один контроллер, то он выполняет все роли хозяев операций сразу.

Не рекомендуется разносить роли хозяина схемы и хозяина именования доменов. По-возможности назначайте их одному контроллеру домена. Для наибольшей эффективности желательно, чтобы хозяин относительных идентификаторов и эмулятор PDC также находились на одном контроллере, хотя при необходимости эти роли можно разделить. В большой сети, где большие нагрузки снижают быстродействие, хозяин относительных идентификаторов и эмулятор PDC должны быть размещены на разных контроллерах. Кроме того, хозяин инфраструктуры не рекомендуется размещать на контроллере домена, хранящем глобальный каталог.

Инсталляция контроллера домена (DC) на базе Windows Server 2003 с помощью мастера установки Active Directory

Установка контроллера домена производится с помощью мастера Active Directory Installation Wizard. Чтобы повысить статус сервера до контроллера домена необходимо убедиться в выполнении всех необходимых для этого требований:

1. На сервере должен быть хотя бы один раздел NTFS для размещения системного тома SYSVOL.
2. Сервер должен иметь доступ к DNS серверу. Желательно установить службу DNS на этом же сервере. Если используется отдельный сервер, то необходимо убедиться, что он поддерживает ресурсные записи Service Location (RFC 2052) и протокол Dynamic Updates (RFC 2136).
3. Необходимо иметь учётную запись с правами локального администратора на сервере.

Рассмотрим подробно повышение роли сервера до контроллера домена Active Directory по шагам:

1. Чтобы запустить мастер повышения статуса сервера необходимо в меню
   Start (Пуск) выбрать
   Run… (Выполнить…), ввести
   dcpromo и нажать OK.
2. После запуска мастера установки Active Directory нажмите
   Next (Далее).
3. На странице
   Domain Controller Type (Тип контроллера домена) выберите вариант
   Domain controller for a new domain (Контроллер домена в новом домене). Нажмите
   Next.

   

   Тип контроллера домена

4. На странице
   Create New Domain (Создать новый домен) выберите вариант
   Domain in a new forest (Новый домен в новом лесу). Нажмите
   Next.
5. На странице
   New Domain Name (Новое имя домена) введите полное (FQDN) DNS-имя для создаваемого нового домена леса Active Directory (например, mydomain.local). Не рекомендуется использовать одиночное (single label) имя домена (например, mydomain). Нажмите
   Next.
6. Проверьте NetBIOS-имя на странице
   NetBIOS Domain Name (NetBIOS-имя домена). Хотя домены Active Directory обозначаются в соответствии со стандартами именования DNS, необходимо так же задать NetBIOS-имя. NetBIOS-имена по возможности должны совпадать с первой меткой DNS-имени домена. Если первая метка DNS-имени домена Active Directory отличается от его NetBIOS-имени, в качестве полного доменного имени используется DNS-имя, а не NetBIOS-имя. Нажмите
   Next.
7. На странице
   Database and Log Folders (Папки базы данных и журналов) введите путь, по которому будут располагаться папки базы данных и журналов, или нажмите кнопку
   Browse (Обзор), чтобы указать другое расположение. Убедитесь, что на диске достаточно места для размещения базы данных каталога и файлов журналов, чтобы избежать проблем при установке или удалении Active Directory. Мастеру установки Active Directory необходимо 250 МБ дискового пространства для установки базы данных Active Directory и 50 МБ для файлов журналов. Нажмите
   Next.
8. На странице
   Shared System Volume (Общий доступ к системному тому) укажите расположение, в которое следует установить папку SYSVOL, или нажмите кнопку
   Browse (Обзор), чтобы выбрать расположение. Папка SYSVOL должна находиться на томе NTFS, так как в ней находятся файлы, реплицируемые между контроллерами домена в домене или лесу. Эти файлы содержат сценарии, системные политики для Windows NT 4.0 и более ранних версий, общие папки NETLOGON и SYSVOL и параметры групповой политики. Нажмите
   Next.
9. На странице
   DNS Registration Diagnostics (Диагностика регистрации DNS) проверьте правильность установки параметров. Если в окне
   Diagnostic Results (Результаты диагностики) отображается сообщение об ошибках диагностики, нажмите кнопку
   Help (Справка) для получения дополнительных инструкций по устранению ошибки. Нажмите
   Next.
10. На странице
    Permissions (Разрешения) выберите требуемый уровень совместимости приложений с операционными системами pre-Windows 2000, Windows 2000 или Windows Server 2003. Нажмите
    Next.
11. На странице
    Directory Services Restore Mode Administrator Password (Пароль администратора для режима восстановления) введите и подтвердите пароль для учетной записи администратора режима восстановления Active Directory для данного сервера. Этот пароль необходим для восстановления резервной копии состояния системы данного контроллера домена в режиме восстановления Active Directory. Нажмите
    Next.
12. Проверьте сведения на странице
    Summary (Сводка) и нажмите
    Next.
13. После завершения установки нажмите кнопку
    Finish (Готово). Для перезагрузки компьютера нажмите кнопку
    Restart Now (Перезагрузить сейчас), чтобы изменения вступили в силу.

Основы управления доменом Active Directory

Ряд средств в оснастках Microsoft Management Console (MMC) упрощает работу с Active Directory.

Оснастка
Active Directory Users and Computers (Active Directory – пользователи и компьютеры) является консолью управления MMC, которую можно использовать для администрирования и публикации сведений в каталоге. Это главное средство администрирования Active Directory, которое используется для выполнения всех задач, связанных с пользователями, группами и компьютерами, а также для управления организационными подразделениями.

Для запуска оснастки Active Directory Users and Computers (Active Directory – пользователи и компьютеры) выберите одноименную команду в меню
Administrative Tools (Администрирование).

По умолчанию консоль Active Directory Users and Computers работает с доменом, к которому относится Ваш компьютер. Вы можете получить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли или подключиться к другому домену. Средства этой же консоли позволяют просматривать дополнительные параметры объектов и осуществлять их поиск.

Получив доступ к домену вы увидите стандартный набор папок:

• Saved Queries
  (Сохраненныезапросы) – сохраненные критерии поиска, позволяющие оперативно повторить выполненный ранее поиск в Active Directory;
• Builtin
  – список встроенных учетных записей пользователей;
• Computers
  – контейнер по умолчанию для учетных записей компьютеров;
• Domain Controllers
  – контейнер по умолчанию для контроллеров домена;
• ForeignSecurityPrincipals
  – содержит информацию об объектах из доверенного внешнего домена. Обычно эти объекты создаются при добавлении в группу текущего домена объекта из внешнего домена;
• Users
  – контейнер по умолчанию для пользователей.

Некоторые папки консоли по умолчанию не отображаются. Чтобы вывести их на экран, выберите в меню
View (Вид) команду
Advanced Features (Дополнительные функции). Вот эти дополнительные папки:

• LostAndFound
  – потерявшие владельца, объекты каталога;
• NTDS Quotas
  – данные о квотировании службы каталогов;
• Program Data
  – сохраненные в службе каталогов данные для приложений Microsoft;
• System
  – встроенные параметры системы.

Вы можете самостоятельно добавлять папки для организационных подразделений в дерево AD.

Рассмотрим пример создания учётной записи пользователя домена. Чтобы создать учётную запись пользователя щелкните правой кнопкой контейнер, в который вы хотите поместить учетную запись пользователя, выберите в контекстном меню
New (Создать), а затем –
User (Пользователь). Откроется окно мастера
New Object – User (Новый объект – Пользователь):

1. Введите имя, инициал и фамилию пользователя в соответствующих полях. Эти данные потребуются для создания отображаемого имени пользователя.
2. Отредактируйте полное имя. Оно должно быть уникальным в домене и иметь длину не более 64 символов.
3. Введите имя для входа. С помощью раскрывающегося списка выберите домен, с которым будет связана учетная запись.
4. При необходимости измените имя пользователя для входа в системы с ОС Windows NT 4.0 или более ранними версиями. По умолчанию в качестве имени для входа в системы с предыдущими версиями Windows используются первые 20 символов полного имени пользователя. Это имя также должно быть уникальным в домене.
5. Щёлкните
   Next (Далее). Укажите пароль для пользователя. Его параметры должны соответствовать вашей политике паролей;

   Confirm Password (Подтверждение) – поле, используемое для подтверждения правильности введенного пароля;

   User must change password at next logon (Требовать смену пароля при следующем входе в систему) – если этот флажок установлен, пользователю придется изменить пароль при следующем входе в систему;

   User cannot change password (Запретить смену пароля пользователем) – если этот флажок установлен, пользователь не может изменить пароль;

   Password never expires (Срок действия пароля не ограничен) – если этот флажок установлен, время действия пароля для этой учетной записи не ограничено (этот параметр перекрывает доменную политику учетных записей);

   Account is disabled (Отключить учетную запись) – если этот флажок установлен, учетная запись не действует (параметр удобен для временного запрета использования кем-либо этой учетной записи).

Учётные записи позволяют хранить контактную информацию пользователей, а так же информацию об участии в различных доменных группах, путь к профилю, сценарий входа, путь домашней папки, список компьютеров, с которых пользователю разрешён вход в домен и т.д.

Сценарии входа определяют команды, выполняемые при каждом входе в систему. Они позволяют настроить системное время, сетевые принтеры, пути к сетевым дискам и т.д. Сценарии применяются для разового запуска команд, при этом параметры среды, задаваемые сценариями, не сохраняются для последующего использования. Сценариями входа могут быть файлы сервера сценариев Windows с расширениями .VBS, .JS и другие, пакетные файлы с расширением .ВАТ, командные файлы с расширением .CMD, программы с расширением .ЕХЕ.

Можно назначить каждой учетной записи свою домашнюю папку для хранения и восстановления файлов пользователя. Большинство приложений по умолчанию открывают домашнюю папку для операций открытия и сохранения файлов, что упрощает пользователям поиск своих данных. В командной строке домашняя папка является начальным текущим каталогом. Домашняя папка может располагаться как на локальном жестком диске пользователя, так и на общедоступном сетевом диске.

К доменным учётным записям компьютеров и пользователей могут применяться групповые политики. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, разрешениями и возможностями пользователей и компьютеров. Групповая политика позволяет:

• создавать централизованно управляемые специальные папки, например My Documents (Мои документы);
• управлять доступом к компонентам Windows, системным и сетевым ресурсам, инструментам панели управления, рабочему столу и меню Start (Пуск);
• настроить сценарии пользователей и компьютеров на выполнение задачи в заданное время;
• настраивать политики паролей и блокировки учетных записей, аудита, присвоения пользовательских прав и безопасности.

Помимо задач управления пользовательскими учётными записями и группами существует масса других задач управления доменом. Для этого служат другие оснастки и приложения.

Оснастка
Active Directory Domains and Trusts (Active Directory – домены и доверие) служит для работы с доменами, деревьями доменов и лесами доменов.

Оснастка
Active Directory Sites and Services (Active Directory – сайты и службы) позволяет управлять сайтами и подсетями, а так же межсайтовой репликацией.

Для управления объектами AD существуют средства командной строки, которые позволяют осуществлять широкий спектр административных задач:

• Dsadd
  – добавляет в Active Directory компьютеры, контакты, группы, организационные подразделения и пользователей. Для получения справочной информации введите
  dsadd /?, например
  dsadd computer/?
• Dsmod
  – изменяет свойства компьютеров, контактов, групп, организационных подразделений, пользователей и серверов, зарегистрированных в Active Directory. Для получения справочной информации введите
  dsmod /?, например
  dsmod server /?
• Dsmove
  – перемещает одиночный объект в новое расположение в пределах домена или переименовывает объект без перемещения.
• Dsget
  – отображает свойства компьютеров, контактов, групп, организационных подразделений, пользователей, сайтов, подсетей и серверов, зарегистрированных в Active Directory. Для получения справочной информации введите
  dsget /?, например
  dsget subnet /?
• Dsquery
  – осуществляет поиск компьютеров, контактов, групп, организационных подразделений, пользователей, сайтов, подсетей и серверов в Active Directory по заданным критериям.
• Dsrm
  – удаляет объект из Active Directory.
• Ntdsutil
  – позволяет просматривать информацию о сайте, домене или сервере, управлять хозяевами операций (operations masters) и обслуживать базу данных Active Directory.

Так же существуют средства поддержки Active Directory:

• Ldp
  – Осуществляет в Active Directory Administration операции по протоколу LDAP.
• Replmon
  – Управляет репликацией и отображает ее результаты в графическом интерфейсе.
• Dsacls
  – Управляет списками ACL (списками управления доступом) для объектов Active Directory.
• Dfsutil
  – Управляет распределенной файловой системой (Distributed File System, DFS) и отображает сведения о её работе.
• Dnscmd
  – Управляет свойствами серверов, зон и записей ресурсов DNS.
• Movetree
  – Перемещает объекты из одного домена в другой.
• Repadmin
  – Управляет репликацией и отображает её результаты в окне командной строки.
• Sdcbeck
  – Анализирует распространение, репликацию и наследование списков управления доступом.
• Sidwalker
  – Задает списки управления доступом для объектов, в прошлом принадлежавших перемещенным, удаленным или потерянным учетным записям.
• Netdom
  – Позволяет управлять доменами и доверительными отношениями из командной строки.

Как видно из этой статьи объединение групп компьютеров в домены на базе Active Directory позволяет существенно снизить издержки административных задач за счёт централизации управления доменными учётными записями компьютеров и пользователей, а так же позволяет гибко управлять правами пользователей, безопасностью и массой других параметров. Более подробные материалы по организации доменов можно найти в соответствующей литературе.

Источник: windowsfaq.ru

Оцените статью: Голосов

In a Windows server environment, it is very important that only authenticated users are allowed to log in for security reasons. To fulfill this requirement the creation of User accounts and Groups is essential.

User Accounts

In Windows Server 2003 computers there are two types of user accounts. These types are local and domain user accounts. The local user accounts are the single user accounts that are locally created on a Windows Server 2003 computer to allow a user to log on to a local computer. The local user accounts are stored in Security Accounts Manager (SAM) database locally on the hard disk. The local user accounts allow you to access local resources on a computer

On the other hand the domain user accounts are created on domain controllers and are saved in Active Directory. These accounts allow to you access resources anywhere on the network. On a Windows Server 2003 computer, which is a member of a domain, you need a local user account to log in locally on the computer and a domain user account to log in to the domain. Although you can have a same login and password for both the accounts, they are still entirely different account types.

You become a local administrator on your computer automatically because local computer account is created when a server is created. A domain administrator can be local administrator on all the member computers of the domain because by default the domain administrators are added to the local administrators group of the computers that belong to the domain.

This article discusses about creating local as well as domain user accounts, creating groups and then adding members to groups.

Creating a Local User Account

To create a local user account, you need to:

1. Log on as Administrator, or as a user of local administrator group or Account Operators local group in the domain.

2. Open Administrative Tools in the Control Panel and then click Computer Management, as shown in Figure 1.

Figure 1

3. Click Users folder under Local Users and Groups node, as shown in Figure 2.

Figure 2

4. Right-click Users and then click New User in the menu that appears, as shown in Figure 3:

Figure 3

The New User dialog box appears as shown below in Figure 4.

5. Provide the User name and the Password for the user in their respective fields.

6. Select the desired password settings requirement.

Select User must change password at next logon option if you want the user to change the password when the user first logs into computer. Select User cannot change password option if you do not want the user to change the password. Select Password never expires option if you do not want the password to become obsolete after a number of days. Select Account is disabled to disable this user account.

7. Click Create , and then click Close:

 Figure 4

The user account will appear on clicking Users node under Local Users and Groups on the right panel of the window.

You can now associate the user to a group. To associate the user to a group, you need to:

8. Click Users folder under Local Users and Groups node.

9. Right-click the user and then select Properties from the menu that appears, as shown in Figure 5:

 Figure 5

The Properties dialog box of the user account appears, as shown in Figure 6:

 Figure 6

The Select Groups dialog box appears, as shown in Figure 7.

12. Select the name of the group/object that you want the user to associate with from the Enter the object names to select field.

If the group/object names do not appear, you can click Advanced button to find them. Also if you want to choose different locations from the network or choose check the users available, then click Locations or Check Names buttons.

13. Click OK .

Figure 7

The selected group will be associated with the user and will appear in the Properties window of the user, as shown in Figure 8:

Figure 8

Creating a Domain User Account

The process of creating a domain user account is more or less similar to the process of creating a local user account. The only difference is a few different options in the same type of screens and a few steps more in between.

For example you need Active Directory Users and Computers MMC (Microsoft Management Console) to create domain account users instead of Local Users and Computers MMC. Also when you create a user in domain then a domain is associated with the user by default. However, you can change the domain if you want.

Besides all this, although, a domain user account can be created in the Users container, it is always better to create it in the desired Organization Unit (OU).

To create a domain user account follow the steps given below:

1. Log on as Administrator and open Active Directory Users and Computers MMC from the Administrative Tools in Control Panel, as shown in Figure 9.

2. Expand the OU in which you want to create a user, right-click the OU and select New->User from the menu that appears.

 Figure 9

3. Alternatively, you can click on Action menu and select New->User from the menu that appears.

The New Object –User dialog box appears, as shown in Figure 10.

4. Provide the First name, Last name, and Full name in their respective fields.

5. Provide a unique logon name in User logon name field and then select a domain from the dropdown next to User logon name field if you want to change the domain name.

The domain and the user name that you have provided will appear in the User logon name (pre-Windows 2000) fields to ensure that user is allowed to log on to domain computers that are using earlier versions of Windows such as Windows NT.

Figure 10

6. Click Next.

The second screen of New Object –User dialog box appears similar to Figure 4.

7. Provide the User name and the Password in their respective fields.

8. Select the desired password settings requirement:

Select User must change password at next logon option if you want the user to change the password when the user first logs into computer. Select User cannot change password option if you do not want the user to change the password. Select Password never expires option if you do not want the password to become obsolete after a number of days. Select Account is disabled to disable this user account.

9. Click Next.

10. Verify the user details that you had provided and click Finish on the third screen of New Object –User dialog box.

11. Follow the steps 9-13 mentioned in Creating a Local User Account section to associate a user to a group.

Creating Groups

Just like user accounts, the groups on a Windows Server 2003 computer are also of two types, the built in local groups and built in domain groups. The example of certain built in domain groups are: Account Operators, Administrators, Backup Operators, Network Configuration Operators, Performance Monitor Users, and Users. Similarly certain built in local groups are: Administrators, Users, Guests, and Backup operators.

The built in groups are created automatically when the operating system is installed and become a part of a domain. However, sometimes you need to create your own groups to meet your business requirements. The custom groups allow you limit the access of resources on a network to users as per your business requirements. To create custom groups in domain, you need to:

1. Log on as Administrator and open Active Directory Users and Computers MMC from the Administrative Tools in Control Panel, as shown in Figure 9.

2. Right-click the OU and select New->Group from the menu that appears.

The New Object –Group dialog box appears, as shown in Figure 10.

3. Provide the name of the group in the Group name field.

The group name that you have provided will appear in the Group name (pre-Windows 2000) field to ensure that group is functional on domain computers that are using earlier versions of Windows such as Windows NT.

4. Select the desired group scope of the group from the Group scope options.

If the Domain Local Scope is selected the members can come from any domain but the members can access resources only from the local domain.

If Global scope is selected then members can come only from local domain but can access resources in any domain.

If Universal scope is selected then members can come from any domain and members can access resources from any domain.

5. Select the group type from the Group Type options.

The group type can be Security or Distribution . The Security groups are only used to assign and gain permissions to access resources and Distribution groups are used for no-security related tasks such as sending emails to all the group members.

Figure 11

6. Click OK.

You can add members to group just as you add groups to members. Just right-click the group in Active Directory Users and Computers node in the Active Directory Users and Computers snap-in, select Properties, click Members tab from the Properties window of the group and then follow the steps from 11-13 from Creating Local User Accounts section.

Article Summary

Dealing with User & Group accounts in a Windows Server environment is a very important everyday task for any Administrator. This article covered basic administration of user and group accounts at both local and domain environments.

If you have found the article useful, we would really appreciate you sharing it with others by using the provided services on the top left corner of this article. Sharing our articles takes only a minute of your time and helps Firewall.cx reach more people through such services.

Back to Windows 2003 Server Section