Время, которое администратор тратит на выполнение операций управления системой, во многом зависит от используемого инструментария. В составе Windows Server 2003 поставляется множество системных утилит и оснасток самого разного назначения. Более того, одна и та же операция может быть выполнена различными инструментами. Поэтому администратору необходимо знать имеющиеся возможности и умело их использовать.
В данной главе будут рассмотрены некоторые из наиболее важных инструментов администрирования доменов на базе Active Directory. Это те инструменты, которые используют в своей повседневной работе администраторы службы каталога. Кроме того, описываются способы выполнения типовых операций по управлению Active Directory.
Начнем с краткого обзора имеющихся средств администрирования.
В распоряжении администратора имеется множество инструментов, посредством которых он может создавать или удалять объекты Active Directory, a также изменять их атрибуты. Некоторые из этих инструментов позволяют управлять отдельными объектами, другие позволяют управлять группами объектов (так называемый пакетный режим). Многие задачи могут быть выполнены любым из этих инструментов. Ниже перечислены все основные средства управления каталогом Active Directory, предоставляемые системами Windows Server 2003.
Стандартные, устанавливаемые по умолчанию оснастки — стандартные утилиты с графическим интерфейсом, позволяющие осуществлять управление только отдельными объектами и имеющие ограниченные возможности по выполнению групповых операций:
Специализированные оснастки — утилиты с графическим интерфейсом, используемые для выполнения специальных операций либо для точной настройки и отладки Active Directory: оснастка Active Directory Schema позволяет осуществлять управление содержимым схемы, создавать новые классы атрибутов и объектов. Эта утилита не создается по умолчанию. Администратор должен создать ее самостоятельно, загрузив соответствующую оснастку в пустую консоль ММС; оснастка ADSI Edit, утилиты Ldp.exe и AdsVw.exe. Эти утилиты позволяют редактировать отдельные атрибуты существующих объектов. Однако они могут быть использованы также для создания объектов любого типа (включая те, которые невозможно создать при помощи стандартных инструментов).
Утилиты LDIFDE и CSVDE — утилиты командной строки, предназначенные для выполнения операций импорта/экспорта объектов каталога. Эти утилиты могут быть использованы как средство повышения эффективности администрирования крупномасштабных инсталляций Active Directory. Утилиту LDIFDE можно также применять для изменения атрибутов множества однотипных объектов. Специальные сценарии и утилиты, позволяющие выполнять специфические задачи: утилиты DsAdd.exe и AddUsers.exe, сценарии CreateUsers.vbs, CreateGroups.vbs и другие специализированные утилиты командной строки (например, утилиту NetDom.exe можно использовать для создания учетных записей компьютеров домена); сценарии ADSI (Active Directory Service Interfaces) — самый гибкий и довольно простой способ манипулирования объектами Active Directory. Эти сценарии используют программный интерфейс ADSI для доступа к каталогу.
Служба каталога используется клиентами для обнаружения сетевых ресурсов, точное местоположение которых зачастую неизвестно. Для поиска объектов в каталоге Active Directory клиенты могут использовать перечисленные ниже инструменты (некоторые из которых доступны клиентам любого типа,.
включая клиентов нижнего уровня, а некоторые могут работать только в системах Windows 2000/XP и Windows Server 2003).
Встроенные средства поиска — самый удобный для пользователя способ найти общую папку или принтер, пользователя, группу или иной общедоступный объект. Большинство пользователей могут воспользоваться только этим методом поиска. Все другие, перечисленные ниже, средства предназначены исключительно для администраторов.
Утилиты командной строки DsQuery.exe и DsGet.exe, входящие в состав Windows Server 2003, представляют собой стандартный инструмент, посредством которого администратор может обращаться с запросами к каталогу.
Оснастка ADSI Edit. С помощью этого инструмента, входящего в состав пакета Windows Server 2003 Support Tools, администратор может формировать запросы с целью поиска в каталоге необходимых объектов. Данная утилита позволяет также модифицировать найденные объекты независимо от того, к какому разделу каталога они принадлежат.
Сценарий Search.vbs' — самое простое средство для выполнения запросов, использующее протокол LDAP. Сценарий входит в состав пакета Windows Server 2003 Support Tools.
Утилита Active Directory Administration Tool (Ldp.exe), входящая в состав пакета Windows Server 2003 Support Tools, представляет собой сложный административный инструмент, позволяющий просматривать дерево каталога и модифицировать объекты. Утилита использует протокол LDAP для доступа к каталогу и является единственным средством, позволяющим получить доступ к удаленным объектам.
При работе с большинством из перечисленных инструментов требуется хорошее знание синтаксиса фильтров LDAP. Только в этом случае вы сможете быстро и точно выбирать нужные объекты.
Напомним, что механизмы доступа к службе каталога реализованы только в составе операционных систем Windows 2000/XP и Windows Server 2003. Операционные системы Windows 9x/ME/NT также могут взаимодействовать со службой каталога, однако для этого необходимо установить на компьютере службу клиента Active Directory (DSClient). Служба клиента поставляется в составе дистрибутивного диска Windows Server 2003.
Ярлык для операций поиска может быть добавлен на рабочий стол или в любую папку файловой системы. Для этого необходимо вызвать контекстное меню родительского объекта и в нем выбрать команду
New | Shortcut
(Создать | Ярлык). В поле Type the location of the item (Укажите местоположение объекта) необходимо ввести строку:
rundll32.exe dsquery,OpenQueryWindow
В следующем окне дайте ярлыку имя и нажмите кнопку Finish (Готово). При необходимости созданный ярлык можно переместить в некоторую папку или меню. Теперь этот ярлык может использоваться для вызова окна поиска объектов в каталоге. Из этого окна можно выполнять поиск пользователей, контактов, групп, принтеров, подразделений и т. д. Область поиска ресурсов может варьироваться от конкретного контейнера (подразделения) до целого домена или всего леса доменов. Выбор параметра
Entire Directory (Вся папка) эквивалентен поиску в Глобальном каталоге.
После того как на базе некоторого сервера под управлением Windows Server 2003 создан контроллер домена, в группе
Administrative Tools (Администрирование) на панели управления появляются новые инструменты (табл. 20.1).
Перечисленные в табл. 20.1 оснастки входят в состав пакета Windows Server 2003 Administrative Tools. Они могут быть установлены на любом компьютере под управлением Windows XP или Windows Server 2003, входящем в состав леса доменов. В этом случае оснастки
Security Policy (Политики безопасности) не появляются в меню Start (Пуск).
Таблица 20.1. Стандартные средства администрирования Active Directory
Оснастки |
Назначение |
Active Directory Domains and Trusts (Active Directory — домены и доверия) |
Выбор администрируемого домена в больших лесах. Просмотр режима работы домена. Создание, проверка и удаление доверительных отношений между доменами |
Active Directory Sites and Services (Active Directory — сайты и службы) |
Создание и изменение сайтов, транспортов и подсетей. Настройка расписаний репликации и связей (links). Запуск репликации между контроллерами домена. Установка разрешений на объекты. Привязка объектов групповой политики (GPO) к сайтам. Запуск серверов глобального каталога на контроллерах домена |
Active Directory Users and Computers (Active Directory — пользователи и компьютеры) |
Создание и изменение объектов каталога (пользователей, групп, подразделений и т. д.). Установка разрешений на объекты. Привязка объектов групповой политики (GPO) к доменам и подразделениям (OU). Управление специализированными ролями (FSMO) |
Domain Controller Security Policy (Политика безопасности контроллера домена) |
Модификация узла Security Settings (Параметры безопасности) объекта групповой политики, привязанного к подразделению Domain Controllers. Для редактирования всего GPO используйте оснастку Group Policy Object Editor |
Domain Security Policy (Политика безопасности домена) |
Модификация узла Security Settings объекта групповой политики, привязанного к контейнеру домена. Для редактирования всего GPO используйте оснастку Group Policy Object Editor |
Group Policy Object Editor (Редактор объекта групповой политики) |
Модификация объекта групповой политики, привязанного к некоторому контейнеру Active Directory (сайту, домену, подразделению) или хранящегося локально на компьютере. Эта оснастка не отображается в меню Start (Пуск), однако она доступна из других административных оснасток или может быть добавлена к пользовательской консоли ММС |
Некоторые дополнительные инструменты (табл. 20.2) для администрирования Active Directory поставляются в составе пакета Windows Server 2003 Support Tools. Эти инструменты незаменимы в некоторых случаях для тонкой настройки и мониторинга Active Directory.
Таблица 20.2. Дополнительные средства администрирования Active Directory
(из пакета Windows Server 2003 Support Tools)
Утилита |
Описание |
ADSI Edit (AdsiEdit.msc) |
"Низкоуровневое" редактирование объектов Active Directory, расположенных в любом разделе каталога (раздел доменных имен, разделы конфигурации и схемы). Посредством утилиты можно также получить информацию об объекте RootDSE. Администратор может использовать утилиту для установки разрешений на доступ к объектам |
Active Directory Administration Tool (Ldp.exe) |
Утилита может использоваться для поиска и модификации объектов Active Directory при помощи запросов LDAP |
Active Directory Replication Monitor (ReplNon.exe) |
Утилита может использоваться для мониторинга состояния репликации и существующей топологии репликации. Утилита позволяет инициировать процесс репликации. Кроме того, утилита может быть использована для получения информации об исполнителях специализированных ролей и статусе контроллеров домена |
В системах Windows Server 2003 имеется набор эффективных утилит, позволяющих выполнять многие операции с объектами Active Directory из командной строки или из командных файлов. Все эти утилиты используют протокол LDAP и могут работать с любыми доменами на базе Active Directory (Windows 2000 и Windows Server 2003). При этом запускаться они могут только на компьютерах под управлением Windows XP или Windows Server 2003.
DsAdd — позволяет создать объект заданного типа: computer, contact, group, OU, user или quota.
DsQuery и DsGet — служат для поиска объектов каталога любого типа или с указанным типом. Утилита Dsget.exe позволяет отображать атрибуты объектов указанного типа. Например, для поиска всех пользователей домена можно использовать команду dsquery user.
DsMod — позволяет изменять атрибуты объектов указанного типа: computer, contact, group, OU, server или user.
DsMove — позволяет переименовать или переместить объект любого типа.
DsRm — служит для удаления объектов каталога или целых поддеревьев каталога (например, можно удалить подразделение со всем содержимым).
Оснастка Active Directory Users and Computers является основным инструментом, посредством которого администратор осуществляет управление содержимым доменных разделов каталога. Вот перечень лишь основных операций: создание, модификация и удаление объектов различного типа, привязка объектов групповых политик к контейнерам Active Directory, настройка прав доступа к объектам каталога, аудит. Знание возможностей этой оснастки позволяет повысить эффективность выполнения рутинных операций, особенно в случае, когда доменные разделы содержат большое количество объектов, что затрудняет их поиск и работу с ними.
В системах Windows Server 2003 оснастка Active Directory Users and Computers имеет насколько новых возможностей:
одновременная работа с несколькими объектами каталога;
операции, выполняемые с помощью мыши (например, перемещение объектов между контейнерами);
хранимые запросы (saved queries).
Для выполнения операций с каталогом оснастка Active Directory Users and Computers должна быть подключена к некоторому контроллеру домена (которые выступают в качестве носителя копии разделов каталога). Оснастка может быть подключена только к одному контроллеру домена и, соответственно, к одному доменному разделу. По умолчанию оснастка подключается к контроллеру домена, в котором зарегистрировался текущий пользователь. Администратор может подключить оснастку к любому другому контроллеру домена, а также к другому домену при условии наличия у него соответствующих прав.
Благодаря этому режиму администратор имеет возможность сохранять предварительно созданные LDAP-запросы. Впоследствии администратор может использовать сохраненные запросы для быстрого поиска требуемых объектов. Сохраненные запросы избавляют администратора от необходимости многократного определения однотипных фильтров при формировании LDAP-запросов.
Оснастка позволяет организовать сохраненные запросы в некую иерархическую структуру в соответствии с предпочтениями администратора. Данная структура формируется внутри контейнера Saved Query оснастки. В рамках этого контейнера могут размещаться как непосредственно сохраненные запросы, так и контейнеры, используемые для их логической организации.
Чтобы создать сохраненный запрос, в контекстном меню контейнера выберите команду New | Query
(Создать | Запрос). В открывшемся окне (рис. 20.1) необходимо дать имя создаваемому запросу и краткое описание. Параметр
Query root (Корень запроса) задает область поиска. По умолчанию запрос охватывает домен целиком. При необходимости администратор может ограничить область поиска некоторым подразделением. Если требуется, чтобы поиск осуществлялся и во вложенных контейнерах, администратор должен установить флажок
Include subcontainers (Включая вложенные контейнеры). Чтобы сформировать LDAP-запрос, нужно щелкнуть по кнопке
Define Query (Определить запрос) и выбрать объекты и критерии поиска.
В конечном итоге, администратор может сформировать некоторую произвольную иерархию запросов (рис. 20.2). Для логической организации запросов можно использовать контейнеры. Чтобы создать контейнер, в контекстном меню корневого контейнера выбрать
New | Container (Создать | Контейнер).
Сохраненные запросы хранятся не в виде объектов каталога, а в виде атрибутов оснастки. Таким образом, запросы сохраняются вместе с другими настройками оснастки. По умолчанию настройки административных оснасток
размещаются в XML-файле в папке Documents and settings \
<имя_пользователя>\Аррliсаtion Data\Microsoft\MMC. Если администратор
будет запускать оснастки с различных контроллеров домена, запросы будут сохранены только для одного из экземпляров оснастки. В этой ситуации оптимальным решением будет размещение всех административных оснасток в перемещаемом профиле пользователя. При этом одни и те же настройки оснастки будут использоваться администратором независимо от того, на каком контроллере домена он их запускает.
Рис. 20.1. Создание сохраненного запроса
Рис. 20.2. Структура сохраненных запросов
Существующие сохраненные запросы могут быть экспортированы в XML-файлы. Эти файлы могут быть переданы другим пользователям или администраторам для последующего использования (при этом они должны импортировать запросы в свои экземпляры оснасток). Для экспорта запроса необходимо в его контекстном меню выбрать пункт Export Query Definition (Экспортировать определение запроса).
В системах Windows Server 2003 оснастка Active Directory Users and Computers предоставляет пользователю возможность манипуляции множеством объектов. Другими словами, пользователь может задействовать в некоторой операции сразу несколько объектов. Для большинства классов объектов (группы, компьютеры, подразделения и т. п.) единственной доступной групповой операцией является изменение описания. В случае объектов, ассоциированных с учетными записями пользователей, имеется порядка 30 атрибутов, которые допускается изменять сразу для множества объектов.
Рис. 20.3. Одновременное изменение атрибутов множества учетных записей пользователей
Выделение множества объектов осуществляется стандартным для интерфейса Windows способом — при помощи клавиш <Ctrl> и <Shift>. Выделив объекты, щелкните правой кнопкой мыши, чтобы вызвать контекстное меню. Для изменения атрибутов выбранных объектов в контекстном меню выберите пункт
Properties (Свойства). Это приведет к открытию модифицированного окна свойств для выбранного класса объектов. Применительно к объектам, ассоциированным с учетными записями пользователей, окно свойств показано на рис. 20.3.
Обратите внимание на то, как происходит изменение атрибутов. Если необходимо изменить указанный атрибут для всех выбранных объектов, установите напротив него флажок и определите его значение. В ситуации, когда администратор не определяет для атрибута новое значение, существующее значение данного атрибута у выделенных объектов сбрасывается. Например, администратор может поменять порядок изменения паролей для выбранных объектов, ассоциированных с учетными записями пользователей.
Служба Active Directory значительно упрощает работу с общими сетевыми ресурсами по сравнению с традиционными методами просмотра доменов. Информация о любом ресурсе может быть опубликована (published) в каталоге Active Directory. Публикация папки или принтера в Active Directory подразумевает под собой создание в каталоге нового объекта —
Shared Folder (Общая папка) или Printer (Принтер) соответственно.
В этом случае пользователи могут использовать службу каталога для поиска ресурсов (например, с помощью команды Search | For Printers
в меню Start). Место публикации ресурсов определяется существующей структурой каталога. Если в домене существуют организационные единицы, созданные для объединения ресурсов, то каждый тип ресурса будет располагаться в отдельной организационной единице. Если же организационные единицы создавались для реализации административной иерархии, ресурсы будут размещаться в контейнерах в зависимости от их принадлежности к некоторому структурному подразделению корпорации.
В процессе создания в каталоге объекта, ассоциированного с общей папкой, администратор может указать ключевые слова, которые характеризуют содержимое папки. Эти ключевые слова могут быть использованы для поиска в каталоге необходимой общей папки на основании ее характеристик. Если пользователь выполняет в каталоге поиск общих папок, он может указать некоторые ключевые слова и найти ресурсы по их содержимому, а не по их именам. Чтобы задать ключевые слова в пространстве имен утилиты
Active Directory Users and Computers, выберите объект, ассоциированный с общей папкой, и вызовите окно свойств объекта. В открывшемся окне щелкните
на кнопке Keywords (Ключевые слова). Надо будет добавить в список слова, логически связанные с содержимым папки.
При публикации папки необходимо быть внимательным. Система не выполняет проверки введенного имени папки. В том случае, если при публикации была допущена ошибка, пользователи не смогут подключиться к указанной папке.
Принтеры, подключенные к компьютерам, под управлением Windows 2000/ХР или Windows Server 2003, могут быть опубликованы только из окна свойств принтера. Для этого на вкладке
Sharing (Доступ) необходимо установить флажок List in the Directory (Отображать в каталоге).
Процессом публикации и удаления (pruning) принтеров в домене администратор может управлять при помощи механизма групповых политик. Соответствующий объект находится в узле
Computer Configuration | Administrative Templates | Printers пространства имен оснастки
Group Policy Object Editor.
Оснастка Active Directory Sites and Services представляет собой основной инструмент с графическим интерфейсом, посредством которого администратор может управлять физической структурой Active Directory — подсетями, сайтами и соединениями; другие же административные оснастки представляют Active Directory на логическом уровне как единое целое. Оснастка
Active Directory Sites and Services является одним из основных средств администрирования Active Directory в том случае, когда корпоративная сеть реализована в виде нескольких сайтов. В случае, если механизм сайтов не используется при построении службы каталога (т. е. сайт только один — созданный по умолчанию), данная оснастка, скорее всего, останется невостребованной.
Оснастка Active Directory Sites and Services позволяет выполнять следующие операции:
изменение топологии репликации в лесе доменов (создание/удаление сайтов, подсетей и соединений);
определение стоимости для соединений (cost);
изменение расписаний и интервалов для репликации внутри сайта и между сайтами;
определение мостовых серверов (bridgehead server);
инициация процесса репликации внутри сайта и между сайтами;
запуск сервиса Knowledge Consistency Checker (KCC) для регенерации топологии репликации;
делегирование пользователям или группам прав на управление сайтами, подсетями, серверами и другими контейнерами в разделе конфигурации;
настройка параметров безопасности и аудита для различных объектов, определяющих топологию репликации;
выбор объектов GPO, привязка объектов GPO к сайтам и запуск оснастки
Group Policy Object Editor для редактирования объектов GPO;
назначение контроллерам домена роли сервера глобального каталога;
назначение политик запросов LDAP.
На рис. 20.4 показан пример окна оснастки Active Directory Sites and Services. В приведенном примере представлены практически все основные элементы сетевой топологии Active Directory: сайты, подсети, межсайтовые соединения, соединения между контроллерами домена в рамках сайта, а также непосредственно сами контроллеры домена.
Рис. 20.4. Пример окна оснастки Active Directory Sites and Services
Каждый контроллер домена под управлением Windows Server 2003, не являющийся сервером глобального каталога, может хранить информацию о составе групп безопасности с универсальной областью действия (universal group) и поддерживать ее в актуальном состоянии, периодически выполняя обновление. Кэширование позволяет избежать частых обращений к серверу глобального каталога для получения информации о составе групп с универсальной областью действия. Эта информация необходима, например, в процессе аутентификации пользователей.
Режим кэширования доступен только для контроллеров домена под управлением Windows Server 2003, не являющихся серверами глобального каталога.
Рис. 20.5. Активизация режима кэширования информации о составе универсальных групп
Чтобы активизировать процесс кэширования информации о составе универсальных групп, нужно открыть окно свойств объекта NTDS Site Settings (Настройки NTDS сайта), расположенного непосредственно внутри контейнера, ассоциированного с требуемым сайтом. В открывшемся окне (рис. 20.5) на вкладке Site Settings (Настройки сайта) необходимо установить флажок Enable Universal Group Membership Caching (Включить кэширование информации о составе универсальных групп). При этом в раскрывающемся списке Refresh cache from (Обновлять кэш из) следует выбрать сайт, к которому будут осуществляться обращения для обновления содержимого кэша.
Оснастка Active Directory Domains and Trusts позволяет осуществлять управление структурой леса домена и, в первую очередь, ориентирована на администратора уровня предприятия. Эта оснастка позволяет просмотреть лес доменов и выбрать некоторый домен для администрирования, а также управлять доверительными отношениями между доменами и лесами. На рис. 20.6 показан пример оснастки
Active Directory Domains and Trusts, в которой отображается структура леса доменов, состоящего из двух деревьев (с
корневыми доменами khsu. ru и khsu. khakasnet. ru).
Рис. 20.6. Оснастка Active Directory Domains and Trusts
Чтобы перейти к администрированию домена, необходимо в его контекстном меню выбрать команду
Manage (Управление). При этом для выбранного домена будет запущена оснастка
Active Directory Users and Computer.
Использование оснастки Active Directory Domains and Trusts для создания доверительных отношений рассматривалось в разд. "Управление доверительными отношениями" предыдущей главы.
После создания домена все полномочия на управление им сосредоточены в руках специальной категории пользователей — администраторов домена. Администраторы домена обладают абсолютными правами на выполнение любых операций. Следует заметить, что использование механизма организационных единиц и сайтов позволяет реализовывать домены огромного размера с разветвленной инфраструктурой. Управление подобным доменом характеризуется большой нагрузкой на администраторов. Однако реализация подобной инфраструктуры, отражающей логическую и физическую структуру организации, дает возможность делегировать выполнение определенной части задач на квалифицированных пользователей на "местах".
Механизм делегирования некоторой части административных полномочий выгодно отличается от подхода, когда проблема увеличения нагрузки на администраторов решается за счет увеличения их количества. Увеличение количества пользователей, обладающих неограниченными правами на управление доменом, нежелательно. Подобные права должны предоставляться исключительно квалифицированным специалистам, а привлечение большого числа квалифицированных специалистов сопряжено с высокими финансовыми затратами. Механизм делегирования предполагает передачу пользователям полномочий, необходимых для выполнения отдельных операций. Это рутинные операции, выполнение которых не требует от исполнителя обширных знаний. Делегирование этих операций пользователям в подразделениях и сайтах позволяет высвободить администратора для выполнения других более сложных задач.
С точки зрения архитектуры Active Directory, делегирование полномочий на выполнение некоторых операций подразумевает под собой предоставление пользователю необходимых разрешений на доступ к объектам каталога. Это разрешения на создание дочерних объектов, их удаление, изменение атрибутов и т. п. Подобные полномочия нужны для выполнения определенных операций.
В качестве примера можно привести ситуацию с созданием учетных записей для новых сотрудников, а также изменение паролей для существующих. Эти операции могут быть делегированы пользователям в организационных единицах (назовем их администраторами организационных единиц). Помимо разгрузки администратора домена, делегирование позволяет также сократить срок принятия элементарных решений. В приведенном примере для создания учетной записи не надо обращаться к администратору домена (который, в случае множества сайтов, может даже находиться в другом городе).
Операция делегирования административных полномочий осуществляется при помощи мастера Delegation of Control Wizard (Мастер делегирования полномочий). Этот мастер может быть вызван из оснасток
Active Directory Users and Computers и Active Directory Sites and Services. Посредством этого мастера администратор может осуществлять делегирование полномочий на уровне отдельных контейнеров каталога.
Полный перечень контейнеров, на уровне которых может быть осуществлено делегирование, приведен в табл. 20.3. Существует два режима делегирования. В первом случае мастер предлагает выбрать из списка операцию, которая будет делегирована пользователю. Во втором случае администратор должен выбрать из списка объекты, право создания или удаление которых будет делегировано выбранной категории пользователей. Этот режим делегирования требует четкого понимания всех совершаемых действий и рассчитан на опытных администраторов.
Таблица 20.3. Уровни делегирования полномочий
Объект каталога |
Описание |
Контейнер Sites |
Делегированные на этом уровне полномочия распространяются на все сайты леса доменов |
Контейнер Inter-Site Transport |
На этом уровне могут быть делегированы полномочия для управления соединениями сайтов (создание, конфигурирование или удаление), а также транспортами репликации |
Контейнер Subnets |
На этом уровне администратор может делегировать полномочия для управления подсетями, образующими сайты (создание, изменение и удаление) |
Конкретный сайт |
Используя этот уровень делегирования, администратор может предоставить полномочия на управление сайтом (в том числе и управление процессом репликации) |
Конкретный домен |
На этом уровне администратор может делегировать полномочия на включение клиентов в состав домена, что означает создание объекта, ассоциированного с учетной записью компьютера, а также полномочия на управление ссылками групповой политики на уровне домена |
Конкретное подразделение (OU) |
На этом уровне администратор может делегировать некоторым пользователям полномочия, действие которых ограничивается выбранным подразделением. Конкретные полномочия, которые будут делегированы, определяются целями, с которыми создавалось это подразделение |
Контейнер Computers |
Делегируя полномочия на этом уровне, администратор предоставляет пользователям полномочия на управление объектами, ассоциированными с учетными записями компьютеров |
Контейнер Domain Controllers |
На этом уровне администратор предоставляет пользователям полномочия на управление учетными записями контроллеров домена |
Контейнер System |
Делегируя полномочия на этом уровне, администратор предоставляет полномочия на управление объектами, значение атрибутов которых определяют параметры различных служб Active Directory |
Контейнер Users |
На этом уровне администратор предоставляет пользователям полномочие на управление учетными записями пользователей |
В табл. 20.4 перечислены задачи, выполнение которых администратор может делегировать на уровне отдельной организационной единицы, а также контейнеров
Computers, Domain Controllers, ForeignSecurityPrincipals, System и Users.
Таблица 20.4. Задачи, которые могут быть делегированы на уровне организационных единиц
Задача |
Описание |
Create, delete, and manage user account |
Полномочия на создание, удаление и управление учетными записями пользователей |
Reset user passwords and force password change at next logon |
Полномочия на изменение паролей учетных записей пользователей, а также установка требования на изменение пароля самим пользователем при следующей регистрации в системе |
Read all user information |
Полномочия на просмотр любой информации о пользователях |
Create, delete, and manage groups |
Полномочия на создание, удаление и управление группами пользователей |
Modify the membership of a group |
Полномочия на изменение членства в группе |
Manage Group Policy links |
Полномочия на управление ссылками групповой политики |
Generate Resultant Set of Policy (Planning) |
Полномочия, необходимые для генерации результирующих политик в режиме планирования |
Generate Resultant Set of Policy (Logging) |
Полномочия, необходимые для генерации результирующих политик в режиме ведения журнала |
Create, delete and manage inetOrgPerson accounts |
Полномочия на создание, удаление и управление объектами класса inetOrgPerson |
Reset inetOrgPerson passwords and force password change at next logon |
Полномочия на изменение паролей, сопоставленных объектам класса inetOrgPerson, а также установка требования на изменение пароля самим субъектом подсистемы безопасности при следующей регистрации в системе |
Read all inetOrgPerson information |
Полномочия на просмотр любой информации об объекте класса inetOrgPerson |
Процесс делегирования полномочий выполняется следующим образом. Запустите оснастку Active Directory Users and Computers. Выберите контейнер, для которого вы хотите делегировать полномочия и вызовите его контекстное меню. Выберите в меню пункт Delegate Control (Делегировать управление), чтобы запустить мастер Delegation of Control Wizard (Мастер делегирования полномочий). На странице Users or Groups необходимо определить пользователей, которым будут делегированы полномочия (рис. 20.7).
Рис. 20.7. Выбор пользователей, которым будут делегированы полномочия
Для большинства контейнеров на следующей странице мастер предложит выбрать задачи для делегирования (рис. 20.8):
выбрать задачи, выполнение которых будет разрешено пользователям. Данный режим является наиболее предпочтительным для большинства случаев. Этому режиму соответствует переключатель
Delegate the following common tasks (Делегировать следующие общие задачи);
выбрать вручную объекты каталога, управление которыми будет разрешено пользователям. Этот режим рассчитан на опытных администраторов и ему соответствует переключатель
Create a custom task to delegate (Создать задачу для делегирования вручную).
Рис. 20.8. Выбор режима делегирования
Выбрав первый режим делегирования, администратор должен установить флажки напротив задач, которые должны быть делегированы. Если же был выбран расширенный режим делегирования, администратор должен определить классы объектов, управление которыми будет делегировано пользователям в рамках рассматриваемого контейнера (рис. 20.9). Если администратор хочет предоставить пользователям возможность создания или удаления экземпляров выбранных классов объектов, он должен установить флажки Create selected objects in this folder (Создание выбранных объектов в данном контейнере) или Delete selected objects in this folder (Удаление выбранных объектов в данном контейнере).
Рис. 20.9. Выбор классов объектов, управление которыми делегируется
Процесс делегирования только предоставляет пользователям необходимые полномочия для управления объектами. Чтобы предоставить пользователям действительную возможность применить эти полномочия, администратор должен создать для них необходимые инструменты. Используя механизм создания заказных управляющих консолей (ММС), описанный в главе 6 "Средства управления системой", администратор может создавать любой необходимый инструментарий, который и будет применяться пользователями для осуществления операций управления.
Помимо задачи делегирования полномочий, существует также задача отзыва уже предоставленных полномочий. Отзыв полномочий фактически означает отзыв у пользователей определенных разрешений на доступ к контейнерам, на уровне которых осуществлялось делегирование. Для отзыва указанных разрешений необходимо в окне свойств соответствующего контейнера перейти на вкладку
Security (Безопасность). Для пользователей, которым были делегированы полномочия, необходимо снять флажки
Allow (Разрешено) напротив соответствующих полномочий. Таким образом, администратор редактирует элементы списка управления доступом (ACL) выбранного контейнера. Флажки устанавливаются напротив соответствующих разрешений в ходе работы мастера делегирования. Понимая этот механизм, администратор может легко и гибко управлять объектами каталога и, как следствие, точнее настраивать Active Directory под стоящие перед ним задачи.
Кроме того, администратор всегда может восстановить для контейнера установки по умолчанию. Для этого необходимо в окне
Advanced Security Settings (Дополнительные параметры безопасности) щелкнуть по кнопке
Default (По умолчанию) (рис. 20.10). Однако следует помнить о том, что в результате будут отозваны все полномочия, предоставленные кому-либо на уровне данного контейнера. Кроме того, будут восстановлены полномочия, наследуемые контейнером от родительских объектов.
Рис. 20.10. Для отзыва всех делегированных полномочий необходимо нажать кнопку
Default
Однако существует другой более гибкий способ управления предоставлением полномочий. Мастер позволяет делегировать полномочия как отдельным пользователям, так и группам. Наиболее удобным и оптимальным вариантом делегирования является применение групп безопасности. Это дает возможность управлять процессом делегирования управления через членство пользователей в выбранной группе. В этом случае для отзыва полномочий достаточно отозвать членство пользователя в группе.
Выполнение ряда операций в доменах на базе Active Directory требует уникальности их исполнителя. Контроллеры домена, на которых возложена обязанность выполнения указанных операций, называют исполнителями специализированных ролей — Flexible Single-Master Operations (FSMO). В данном разделе разговор пойдет о процессе управления ролями FSMO, a также о методике получения информации об их владельцах (хозяевах).
Получить информацию о владельцах специализированных ролей (также называемых мастерами операций) можно при помощи стандартных административных оснасток.
Оснастка Active Directory Users and Computers отображает информацию о владельцах ролей, к которым предъявляются требования уникальности в пределах домена (владелец инфраструктуры каталога, идентификаторов и эмулятора PDC). Для получения информации о текущем владельце той или иной роли необходимо выбрать в контекстном меню объекта, ассоциированного с интересующим доменом, команду
Operations Master (Владелец операций). В соответствующем окне на трех вкладках будет выведена информация о существующих владельцах. Текущий владелец роли отображается в поле
Operations master.
Оснастка Active Directory Domains and Trusts может быть использована для получения информации о владельце доменных имен (Domain Naming master). Для получения информации о текущем владельце необходимо выбрать в контекстном меню объекта, расположенного в корне пространства имен оснастки, команду
Operations Master (Владелец операций). Текущий владелец роли доменных имен отображается в поле
Domain naming operations master.
Оснастка Active Directory Schema позволяет получить информацию о владельце схемы. Эта оснастка должна быть загружена администратором в консоль ММС вручную. Для получения информации о текущем владельце схемы необходимо выбрать в контекстном меню объекта, ассоциированного с загруженной оснасткой, команду
Operations Master (Владелец операций). Текущий владелец роли отображается в открывшемся окне в поле
Current schema master.
Перечисленные оснастки являются основными инструментами для работы с владельцами специализированных ролей. Кроме того, имеется ряд утилит и сценариев, которые могут быть также использованы администратором для получения информации о владельцах ролей.
Если в рамках леса доменов имеется несколько контроллеров домена, обязанности исполнения специализированной роли могут быть перенесены с одного контроллера домена на другой. Процедура передачи роли требует, чтобы в оперативном режиме находились контроллеры домена, выступающие в качестве текущего и будущего исполнителя. В этом случае передача роли может быть осуществлена при помощи стандартных оснасток (таких, например, как
Active Directory Users and Computers).
В случае, если необходимо передать роль другому контроллеру домена при недоступном текущем исполнителе, следует прибегнуть к захвату роли. Захват роли осуществляется при помощи утилиты NtdsUtil.exe.
Процедура передачи ролей, требующих уникальности исполнителя в пределах домена, происходит следующим образом. Подключите оснастку
Active Directory Users and Computers к контроллеру домена, который выбран в качестве нового исполнителя роли. В контекстном меню корневого объекта пространства имен утилиты выберите команду
Operations Masters (Владелец операций). В открывшемся окне необходимо перейти на требуемую вкладку:
RID, PDC или Infrastructure. Чтобы изменить исполнителя роли, щелкните по кнопке
Change (Изменить).
Если в домене установлено несколько контроллеров домена, необходимо следить за тем, чтобы роль владельца инфраструктуры не возлагалась на контроллер домена, являющийся сервером глобального каталога. В противном случае в журнале Directory Service на контроллере домена, выбранном в качестве нового владельца роли, появится предупреждение.
Передача роли владельца доменных имен осуществляется при помощи оснастки Active Directory Domains and Trusts. Подключите оснастку к контроллеру домена, который выбран в качестве нового исполнителя роли. В контекстном меню корневого объекта пространства имен утилиты выберите команду
Operations Masters (Владелец операций). Чтобы изменить исполнителя роли в открывшемся окне, щелкните по кнопке
Change (Изменить). Помните о том, что только один контроллер в лесу доменов может исполнять роль владельца доменных имен. При этом данный контроллер домена должен также выполнять функции сервера глобального каталога.
Передача роли владельца схемы осуществляется при помощи оснастки Active Directory Schema. Подключите оснастку к контроллеру домена, который выбран в качестве нового исполнителя роли. В контекстном меню корневого объекта пространства имен утилиты выберите команду
Operations Masters (Владелец операций). Чтобы изменить владельца роли в открывшемся окне, щелкните по кнопке
Change (Изменить). Помните о том, что только один контроллер в лесу доменов может быть владельцем схемы.
Владелец схемы каталога определяет контроллер домена, который отвечает за осуществление операции расширения схемы. По умолчанию право работать со схемой имеют только члены группы
Schema Admins (Администраторы схемы).
К операции захвата роли (seize role) прибегают в том случае, когда текущий исполнитель роли становится по той или иной причине недоступным, в результате чего выполнение специализированных операций станет невозможным. Операция захвата роли выполняется при помощи утилиты командной строки NtdsUtil.exe.
Ниже приводится пример использования утилиты NtdsUtil для захвата всех специализированных ролей контроллером домена store.khsu.ru (полужирным выделены команды, вводимые администратором):
C:\ntdsutil
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server store.khsu.ru
Binding to store.khsu.ru...
Connected to store.khsu.ru using credentials of locally logged on user
server connection: quit
fsmo maintenance seize schema master
fsmo maintenance seize domain naming master
fsmo maintenance seize PDC
fsmo maintenance seize RID master
fsmo maintenance seize infrastructure master
fsmo maintenance quit
ntdsutil: quit
Disconnecting from store.khsu.ru...
Применительно к ролям владельца схемы, владельца доменных имен и владельца идентификаторов запрещается возвращение в сеть прежнего исполнителя роли после выполнения ее захвата. Об этом необходимо помнить, выполняя захват указанных ролей.
Подсистема репликации службы каталога предполагает регулярную синхронизацию копий каталога. Тем не менее, администратор может инициировать принудительную репликацию изменений каталога. Для выполнения этой операции в распоряжении администратора имеются три инструмента:
оснастка Active Directory Sites and Services;
утилита командной строки Replication Diagnostics Tool (RepAdmin.exe);
утилита Active Directory Replication Monitor (ReplMon.exe).
В зависимости от выбранного инструмента можно инициировать процесс репликации изменений как для отдельного раздела каталога, так и для всех разделов сразу. Перечисленные утилиты позволяют администратору инициировать процесс репликации в двух режимах:
между некоторой парой контроллеров домена;
между контроллером и всеми его партнерами по репликации.
В контексте разговора об управлении процессом репликации изменений необходимо уточнить терминологию. Изменения содержимого каталога всегда реплицируются с сервера-источника (source DC) на целевой сервер (target DC). Поэтому для инициации процесса репликации сначала необходимо выбрать целевой сервер, а затем — сервер-источник.
Стандартным инструментом управления процессом репликации изменений каталога является оснастка
Active Directory Sites and Services. При помощи этой оснастки администратор может инициировать процесс репликации изменений для всех разделов каталога от отдельного партнера по репликации. Следует обратить особое внимание на то, что реплицируются все разделы каталога. Нельзя инициировать процедуру репликации только для одного раздела каталога.
Для инициации процесса репликации изменений выберите целевой контроллер в контейнере
Servers (Серверы) соответствующего сайта и откройте объект NTDS Settings
(Параметры NT Directory Service). Можно запросить репликацию у любого контроллера домена, соединение с которым присутствует в правом окне в виде объекта класса Connection. Для этого вызовите контекстное меню нужного соединения и выберите команду Replicate Now (Реплицировать немедленно). В зависимости от пропускной способности коммуникационных линий, соединяющих контроллеры домена, и объема имеющихся изменений может потребоваться некоторое время для выполнения процедуры репликации. В случае успешной репликации всех изменений будет выведено сообщение "Active Directory has replicated the connections" (Active Directory произвела репликацию подключений).
Несмотря на удобный графический интерфейс, оснастка Active Directory Sites and Services предлагает достаточно ограниченные возможности управления процессом репликации. Как уже упоминалось ранее, администратор не может запросить репликацию изменений для отдельного раздела каталога. Кроме того, администратор не может запросить репликацию изменений от всех источников-партнеров по репликации как одну операцию.
При помощи утилиты командной строки Replication Diagnostics Tool (RepAdmin.exe) администратор может осуществлять репликацию изменений на уровне отдельных разделов каталога. При этом администратор может включать в процесс репликации как один сервер-источник, так и все источники. Применительно к процессу управления репликацией, утилита может быть запущена в одном из двух режимов:
запрос репликации изменений определенного раздела каталога со всех серверов-источников, выступающих в качестве партнеров по репликации;
запрос репликации изменений определенного раздела каталога с одного сервера-источника.
В первом случае необходимо использовать следующий формат утилиты:
repadmin /syncall <целевой_сервер> [<раздел_каталога>] [<флаги>]
В этом случае выполняется репликация только одного раздела, однако от всех источников-партнеров по репликации. Флаги позволяют задать параметры репликации. Например, чтобы инициировать репликацию изменений доменного раздела khsu.ru на контроллер домена store со всех источников-партнеров, необходимо воспользоваться следующей командой: repadmin /syncall store.khsu.ru DC=khsv.,
DC=ru
Следует помнить о том, что команда repadmin /syncall позволяет выполнить репликацию только одного раздела каталога. Однако достаточно часто возникает необходимость синхронизировать все разделы каталога. Для этого используется специальный флаг /А. Ниже приводится пример синхронизации всех разделов каталога для контроллера домена store.
repadmin /syncall store.khsu.ru /А
Чтобы выполнить репликацию изменений в рамках всего леса доменов, администратор может создать пакетный файл, содержащий аналогичные команды для каждого контроллера домена и для всех разделов каталога. Впоследствии при необходимости администратор может использовать созданный пакетный файл для выполнения полной репликации в домене или лесе.
Для выполнения репликации некоторого раздела каталога от одного конкретного партнера используется другой формат утилиты:
repadmin /sync <раздел_каталога> <целевой_сервер> <сервер_источник> [<флаги>]
Сервер-источник задается посредством глобально уникального идентификатора (GUID). Например, для репликации изменений доменного раздела khsu.ru на контроллер домена store с контроллера домена root (имеющего GUID 337e47bb-3902-4a8f-9666-fe736ddc0b7c) необходимо воспользоваться следующей командой:
repadmin /sync DC=khsu,
DC=ru store.khsu.ru 337e47bb-3902-4a8f-9666-fe736ddc0b7c
Имеющая графический интерфейс утилита Active Directory Replication Monitor (ReplMon.exe) может быть использована для выполнения следующих операций, связанных с репликацией:
синхронизация всех разделов каталога некоторого контроллера домена со всеми партнерами по репликации (для этой операции имеются три дополнительных режима);
синхронизация указанного раздела каталога некоторого контроллера домена со всеми партнерами по репликации;
синхронизация указанного раздела каталога некоторого контроллера домена с определенным партнером по репликации.
Одним из достоинств утилиты Active Directory Replication Monitor является возможность подробного протоколирования операции репликации.
Оценка эффективности существующей политики безопасности системы должна базироваться на некотором аналитическом материале. В состав операционной системы Windows Server 2003 включены действенные механизмы
протоколирования событий, связанных с попытками (как удачными, так и неудачными) получения доступа к ресурсам сети. Согласно терминологии Microsoft, процесс протоколирования действий пользователей получил название аудита (audit). Сведения обо всех событиях, связанных с попыткой получения доступа к ресурсам, для которых активизирован режим аудита, фиксируются системой в специальном журнале безопасности (Security log).
Для объектов каталога реализация аудита осуществляется в два этапа:
1. Активизация режима аудита. При этом администратор должен указать категории событий, которые подлежат аудиту.
2. Определение объектов каталога, для которых будет осуществляться аудит событий.
Подсистема безопасности Windows Server 2003 оперирует девятью категориями событий, подлежащих аудиту. Применительно к аудиту событий, связанных с функционированием службы каталога, интерес представляют три категории событий:
Audit object access (Аудит событий, связанных с доступом к объектам);
Audit directory service access (Аудит событий, связанных с доступом к службе каталога);
Audit account management (Аудит событий, связанных с управлением учетными записями).
Аудит доступа к службе каталога выполняется по отношению к операциям, выполняемым на контроллерах домена. Для активизации аудита можно использовать оснастку
Domain Controllers Security Policy. Эта оснастка работает с объектом групповой политики
Default Domain Controllers Policy, привязанного к подразделению Domain Controller. Откройте узел
Computer Configuration | Windows Settings | Security Settings | Local Policies | Audit Policy
(Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Локальные политики | Политика аудита) содержащий категории аудита.
По умолчанию для политик аудита задано одно значение — No auditing (Нет аудита). В окне оснастки выберите категорию событий, откройте его окно свойств, установите флажок
Define these policy settings (Определить следующие параметры политики) и определите, какие именно попытки — успешные (Success) или неуспешные (Failure) — должны регистрироваться в системном журнале безопасности. Если флажок
Define these policy settings (Определить следующие параметры политики) снят, считается, что для данной категории событий аудит не определен
(Not Defined).
Следует заметить, что установки No auditing (Нет аудита) и Not defined
(He определено) имеют разное значение. Если политика не определена, вы можете установить ее на другом уровне. Значение
No auditing переопределяет все установки, которые могли быть заданы ранее. Групповые политики для
контейнера Domain Controllers применяются последними и, следовательно, имеют самый высокий приоритет. Поэтому установки аудита, определяемые этими политиками по умолчанию, переопределяют любые параметры, заданные на предыдущих уровнях.
На следующем этапе администратор определяет объекты каталога, для которых будет осуществляться аудит событий. Для каждого объекта каталога аудит событий может производиться на двух уровнях:
на первом уровне отслеживаются все события, связанные с доступом непосредственно к самому объекту (создание, удаление, чтение объекта и т. п.);
на втором уровне система регистрирует в системном журнале все события, связанные с доступом к индивидуальным атрибутам объекта (чтение или изменение атрибута объекта).
Режим аудита позволяет отслеживать действия над объектами каталога и их атрибутами на любом уровне иерархии. При этом допускается наследование дочерними объектами параметров аудита от родительских объектов.
Для операций чтения рекомендуется задавать аудит неудачных обращений (отказов), поскольку при регистрации большого количества успешных обращений журнал безопасности (Security Log) будет быстро переполняться. Как следствие, снижается производительность контроллеров домена. Для операций записи, создания/удаления и других критичных операций (которые выполняются гораздо реже, чем чтение) можно устанавливать аудит всех событий, т. е. как успешных, так и неудачных обращений.
По умолчанию для группы Everyone (Все) выполняется аудит специальных обращений (успешных и неудачных) ко всем объектам в домене. Все объекты домена наследуют эти установки от корневого доменного контейнера. У некоторых контейнеров имеются дополнительные параметры аудита. Эти установки разрешают аудит критических операций, таких как запись, удаление, изменение и т. д. Все установки аудита можно просматривать в окне свойств объекта: откройте вкладку
Security (Безопасность), нажмите кнопку Advanced (Дополнительно) и перейдите на вкладку
Auditing (Аудит).
Нажмите кнопку Edit (Редактирование), и в открывшемся окне вы можете просматривать и изменять параметры. Если вы откроете вкладку Auditing для некоторого дочернего объекта каталога, то заметите, что все установленные флажки затенены. Их нельзя изменить непосредственно, для этого нужно открыть родительский или корневой объект. Если установить еще не отмеченный флажок, система создаст новый набор параметров аудита и добавит его в список.
Поскольку по умолчанию многие успешные обращения регистрируются, после включения аудита может возникнуть громадное количество записей в системных журналах. Поэтому при выполнении аудита в течение достаточно длительного времени следует изменить параметры, заданные по умолчанию.
Содержимое журнала безопасности может быть просмотрено при помощи оснастки Event Viewer. Для каждого события утилита отображает следующую информация:
успешность попытки (была ли попытка доступа успешной или нет);
дата и время попытки;
имя учетной записи компьютера, с которого была произведена попытка;
имя учетной записи пользователя, совершившего попытку.
Для выполнения операций резервного копирования в составе операционной системы Windows Server 2003 Server поставляется утилита Backup. С ее помощью можно резервировать и восстанавливать многие системные данные, в том числе файлы базы данных Active Directory. Использование этой утилиты подробно рассматривается в главе 23 "Восстановление системы", здесь мы коснемся лишь специфики работы с Active Directory.
Важно понимать, что резервная копия состояния системы (System State) содержит параметры, характеризующие конкретный контроллер домена. Как следствие, вы не можете использовать резервную копию состояния системы одного контроллера домена для восстановления другого контроллера домена. В этом случае вы получите два абсолютно идентичных контроллера домена, что приведет к возникновению конфликтов (начиная с идентичных настроек стека протоколов TCP/IP и заканчивая GUID DSA).
Расширение схемы является необратимой операцией, и вы не можете восстановить резервную копию, содержащую старую версию схемы. Созданные атрибуты и классы невозможно удалить, их можно только отключить (deactivate).
Подсистема резервного копирования Windows Server 2003 позволяет создавать резервные копии различных типов (нормальную, дублирующую, добавочную, разностную и ежедневную). Однако применительно к резервной копии, отражающей состояние системы, речь может идти только о нормальном резервном копировании (normal backup).
Для создания резервной копии состояния системы запустите утилиту Backup, выполнив команду
Start | Programs | Accessories | System Tools | Backup.
Утилита Backup предлагает администратору два способа создания резервной копии.
Использование мастера Backup Wizard. Этот способ является наиболее удобным, поскольку упрощает процедуру резервного копирования.
Создание резервной копии вручную. Этот способ дает администратору больший контроль над операцией резервного копирования. При этом, однако, от администратора требуется четкое понимание всех механизмов резервного копирования.
Рассмотрим процесс создания резервной копии вручную. Процесс сохранения данных Active Directory сводится к резервированию состояния системы на контроллере домена. Перейдите на вкладку
Backup и установите флажок System State в окне структуры. При необходимости можно также включить в создаваемую резервную копию ряд дополнительных файлов. В списке
Backup Destination выберите тип носителя архива. Если выбран режим создания резервной копии на жестком диске, в поле
Backup media or file name необходимо будет указать имя файла. Затем нажмите кнопку
Start Backup, и процесс архивации начнется. Напомним, что полученный архив можно использовать для установки контроллера домена из резервной копии (см. главу 19 "Проектирование доменов и развертывание Active Directory").
В случае выхода из строя контроллера домена, у администратора имеется две возможности восстановления его работоспособности:
установить на компьютере операционную систему заново и повысить его до контроллера домена. При этом база данных каталога Active Directory будет автоматически восстановлена в процессе стандартной процедуры репликации. В результате получится совершенно новый контроллер, а все ссылки на старый контроллер домена в Active Directory нужно будет удалить вручную. Этот способ требует минимум усилий со стороны администратора и, что является самым главным, не требует наличия резервной копии каталога. Этот способ восстановления используют в том случае, когда требуется полная переустановка операционной системы. Если же выход из строя контроллера домена связан с повреждением системных файлов службы каталога, проще восстановить базу данных каталога, используя резервную копию. Этот способ неприемлем в том случае, если восстанавливаемый контроллер домена является единственным в домене;
использовать резервную копию для восстановления состояния системы. Этот способ позволяет сохранить индивидуальные характеристики контроллера домена и не требует обязательной переустановки операционной системы.
В данном разделе речь пойдет о восстановлении из резервной копии. При этом у администратора имеется три различных сценария восстановления состояния системы:
выполнить основное восстановление (primary restore), если имеется только один контроллер домена и требуется восстановить содержимое каталога. При основном восстановлении создается новая -база данных службы репликации файлов (FRS); поэтому восстановленные данные будут затем реплицироваться на другие контроллеры домена;
если в домене остался хотя бы один контроллер домена, можно выполнить неавторитетное восстановление (non-authoritative restore). При этом база данных каталога будет приведена в состояние, в котором каталог находился на момент создания резервной копии. Восстановленный контроллер получит актуальные данные об изменениях, произошедших в каталоге с момента создания данной резервной копии, в процессе репликации Active Directory с других контроллеров домена. К неавторитетному восстановлению целостности каталога прибегают в случае возникновения неисправностей, вызванных нарушениями в работе компьютера. Этот тип восстановления используется чаще всего;
если требуется восстановить данные, удаленные из Active Directory, необходимо использовать авторитетное восстановление (authoritative restore). Авторитетное восстановление службы каталога применяется для приведения каталога в некоторое состояние, непосредственно предшествующее сбою системы. Однако авторитетное восстановление может быть выполнено только после того, как будет выполнено неавторитетное восстановление каталога. Авторитетное восстановление возможно для любого раздела каталога, за исключением раздела схемы.
Не забывайте о том, что при любом сценарии восстановить Active Directory можно только тогда, когда сервер загружен в режиме восстановления каталога.
При устранении последствий выхода контроллера домена из строя может потребоваться изменение конфигурации сервера. Возможна ситуация, когда вышедший из строя контроллер домена должен быть заменен другим. При этом администратор должен установить необходимые драйверы еще до выполнения операции восстановления. Если изменения в конфигурации контроллера домена затрагивают дисковую подсистему, необходимо позаботиться о выполнении следующих требований:
жесткий диск не должен быть меньшего объема, чем вышедший из строя;
на диске должна быть воспроизведена структура дисковых разделов, аналогичная той, что существовала на вышедшем из строя контроллере
домена.
Процесс восстановления состояния системы (а точнее восстановления каталога) зависит от времени жизни объектов, помеченных для удаления (tombstone lifetime). По окончании процедуры неавторитетного восстановления каталога на контроллер домена будут реплицированы сведения обо всех изменениях, произошедших с момента выполнения использованной резервной копии. Это касается также и сведений об изменениях, вызванных операцией удаления объектов.
Объекты, выбранные пользователем для удаления, не удаляются из каталога сразу. Они помечаются службой каталога для удаления, и информация об этом реплицируется на все остальные контроллеры домена. Только через некоторый промежуток времени, называемый временем жизни объекта, помеченного для удаления, объект будет реально удален из каталога. По умолчанию время жизни объектов, помеченных для удаления, составляет 60 дней (минимальное значение — 2 дня). Эта величина хранится в атрибуте
tombstoneLifetime объекта c именем CN=Directory Service, CN=Windows NT, CN=Service, CN=Configuration, DC=<ForestRootDomain>. Для восстановления каталога запрещается использовать резервные копии старше, чем значение времени жизни объектов, помеченных для удаления.
Восстановление резервной копии, так же как и операция ее создания, может быть выполнено двумя способами: посредством мастера Restore Wizard и вручную. Рассмотрим процесс ручного восстановления.
Запустите утилиту Backup и перейдите на вкладку Restore. Выберите из списка необходимую резервную копию и установите в ней флажок System State. Выберите из списка
Restore files to (Восстанавливать файлы в) значение Original location (Исходное расположение). Нажмите кнопку
Start Restore и выберите опцию Advanced в окне Confirm Restore (Подтверждение восстановления). Для выполнения основного восстановления необходимо установить флажки, как показано на рис. 20.11. Если выполняется неавторитетное восстановление, необходимо снять флажок
When restoring replicated data sets, mark the restored data as the primary data for all replicas. Закройте окно и начните процесс восстановления.
По окончании процесса восстановления необходимо перезагрузить компьютер.
По окончании процедуры восстановления для системного агента каталога (DSA) контроллера домена генерируется новый глобальный идентификатор (GUID). При этом служба каталога начинает нумерацию порядковых номеров обновления (USN)сначала.
После того как резервная копия состояния системы загружена, необходимо выполнить перезагрузку системы. Однако до того как будет выполнена перезагрузка, администратор может проверить успешность выполнения операции восстановления каталога. Показателем успешности служит наличие в реестре параметра RestoreinProgress в ключе реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlset\Services\NTDS. Этот параметр используется системой для обнаружения факта восстановления каталога и используется для инициации процесса обновления соответствующих системных файлов.
Рис. 20.11. Выполнение основного восстановления
Процедура авторитетного восстановления каталога предполагает откат на всех контроллерах домена изменений, касающихся определенных объектов или даже фрагментов каталога. Авторитетное восстановление может быть выполнено для объектов, расположенных в доменном разделе каталога, а также в разделе каталога, содержащем данные конфигурации. Поскольку операция расширения схемы каталога является необратимой, авторитетное восстановление схемы невозможно.
Суть авторизованного восстановления заключается в установке для некоторого подмножества объектов каталога значения Originating USN в метаданных репликации равным текущему значению USN контроллера домена. Как следствие, информация об этих объектах будет реплицирована на остальные контроллеры домена.
Авторитетное восстановление всегда производится после неавторизованного восстановления каталога. Для выполнения этой операции используется утилита командной строки NtdsUtil.exe. Рассмотрим процедуру выполнения авторизованного восстановления более подробно.
На предварительном этапе контроллер домена должен быть загружен в режиме восстановления службы каталога. Используя имеющуюся резервную копию, администратор должен произвести неавторитетное восстановление службы кататога. При этом на вкладке
Restore утилиты Backup из раскрывающегося списка Restore flies to (Восстанавливать файлы в) надо выбрать значение Alternate location (Альтернативное расположение). Необходимо будет указать папку на локальном диске, в которую будет произведено восстановление содержимого резервной копии. В выбранном месте после восстановления появятся следующие папки:
Active Directory. Файлы, используемые механизмом ESE для организации хранилища каталога (файлы ntds.dit, edb.log и т. п.);
СОМ+ Class Registration Database. Файлы, определяющие содержимое базы данных регистрации классов СОМ+ (файл ComReg.Db.bak);
Boot Files. Эта папка содержит загрузочные файлы (файлы ntdetect.com, ntldr);
Registry. В этой папке находятся файлы, содержимое которых определяет значение основных ключей системного реестра (файлы default, SAM, SECURITY, software, system, userdiff);
Sys Vol. Эта папка определяет содержимое системного тома SYSVOL.
По окончании процедуры неавторизованного восстановления система предложит выполнить перезагрузку. Для выполнения авторизованного восстановления необходимо отказаться от перезагрузки, поскольку при этом произойдет обновление всех системных файлов. Запустите редактор реестра и убедитесь в существовании параметра RestoreinProgress в ключе реестра
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\NTDS.
Вместо перезагрузки необходимо перейти в режим командной строки и запустить утилиту NtdsUtil. Ниже приведен пример диалога для операции authoritative restore (команды администратора выделены полужирным):
C:\>ntdsutil ntdsutil: authoritative restore authoritative restore: restore subtree OU=ND,DC=khsu,DC=ru Opening DIT database... Done. The current time is 09-20-02 21:45.14. Most recent database update occurred at 09-19-02 11:03.01. Increasing attribute version numbers by 300000. Counting records that need updating... Records found: 0000000004 Done. Found 4 records to update. Updating records... Records remaining: 0000000000 Done. Successfully updated 4 records.
Authoritative Restore completed successfully,
authoritative restore: quit
ntdsutil: quit
После этого необходимо выполнить перезагрузку компьютера. Обратите внимание на то, что номера версий объектов увеличиваются на 100 000 для каждого дня, прошедшего с момента создания резервной копии. Для просмотра изменений метаданных можно применять утилиту RepAdmin.exe. Например, для восстановленного подразделения можно воспользоваться следующей командой:
c:\repadmin /showmeta OU=ND, DC=khsu, DC=ru store.khsu.ru
Выполняя эту команду на различных контроллерах домена, можно проверить успешность выполнения авторизованного восстановления и проследить за распространением изменений в процессе репликации.
Если в вашей конфигурации объекты Active Directory меняются редко, можно изменить стандартное значение, на которое увеличивается номер версии. При этом в процессе работы утилиты NtdsUtil используется команда, подобная следующей:
restore subtree OU=ND, DC=khsu, DC=ru verinc 1000
При выполнении авторизованного восстановления администратор должен учитывать срок действия паролей, соответствующих учетным записям (пользователей и компьютеров) и используемых для установления доверительных отношений между доменами. Служба каталога рассматривает смену пароля как изменение состояния объекта. Политика учетных записей задает срок жизни пароля и накладывает определенные ограничения на выполнение авторизованного восстановления объектов, ассоциированных с учетными записями. Возможна ситуация, когда откат изменений восстановит старые значения паролей учетных записей, что приведет к нарушению нормальной работы сети. По умолчанию пароли, ассоциированные с учетными записями компьютеров, а также используемые для установления доверительных отношений между доменами, меняются каждые семь дней. Кроме того, в каталоге хранятся также и предыдущие значения паролей. Таким образом, если применяются установки по умолчанию, не следует использовать для авторизованного восстановления объектов каталога, ассоциированных с учетными записями, резервные копии старше 14 дней.
В ряде ситуаций может потребоваться восстановить содержимое системного тома SYSVOL. В качестве примера можно привести ситуацию, когда удаляется группа объектов групповой политики. Информация о групповой политике хранится как в виде объектов каталога, так и в виде файлов в составе системного тома SYSVOL. Поэтому восстановление только объектов каталога не приведет к полному восстановлению объектов групповой политики. Необходимо также восстановить содержимое системного тома SYSVOL.
По окончании процедуры авторитетного восстановления следует перезагрузить контроллер домена в нормальном режиме и дождаться момента публикации тома SYSVOL. Обнаружить момент публикации можно при помощи команды net share.
Скопируйте содержимое тома SYSVOL из альтернативной папки в его рабочую папку (по умолчанию %SystemRoot%\SYSVOL\sysvo\). Изменение состояния тома SYSVOL вызовет репликацию тома на остальные контроллеры домена.