Active Directory для Windows Server 2003. Справочник администратора 5-7163-0109-6
Active Directory является мощнейшей службой каталога операционной системы Windows Server 2003, предназначенной для управ
269 6 6MB
Russian Pages 329 Year 2006
Recommend Papers
![Mastering Active directory for Windows server 2003 [3rd ed]
9780782140798, 0-7821-4079-3](https://ebin.pub/img/200x200/mastering-active-directory-for-windows-server-2003-3rd-ed-9780782140798-0-7821-4079-3.jpg)
![Mastering Active Directory for Windows Server 2003 [3rd ed]
9780782140798, 0782140793](https://ebin.pub/img/200x200/mastering-active-directory-for-windows-server-2003-3rd-ed-9780782140798-0782140793-p-7618202.jpg)
![Mastering Active Directory for Windows Server 2003 [3rd ed]
0782140793, 9780782140798, 9780585475677](https://ebin.pub/img/200x200/mastering-active-directory-for-windows-server-2003-3rd-ed-0782140793-9780782140798-9780585475677.jpg)
- Author / Uploaded
- Стэн Реймер
- Майк Малкер
- Similar Topics
- Computers
- System Administration
- Commentary
- eBook (изначально компьютерное)
File loading please wait...
Citation preview
. . ,
.
I.
Active Directory Windows Server 2003. 1.
Active Director.
2.
Active Directory.
3. Active Directory 4.
.
Active Directory
II.
.
Active Directory Windows Server 2003. 5.
Active Directory.
6.
Active Directory.
7.
Active Directory.
III.
Active Directory Windows Server 2003. 8.
Active Directory.
9.
Active Directory.
10.
Active Directory.
11.
. 12. .
13. .
IV.
Active Directory Windows Server 2003. 14. 15.
Active Directory. .
ведение Active Directory , Active Directory
2003,
Active Directory Active Directory, Windows Server 2003, , Active Directory, , Directory . , ,
Microsoft Windows Server
Windows Server 2003. Microsoft Windows 2000. Windows 2000, .
,
, , Active Directory
Active .
Microsoft Windows Server 2003 , Active Directory. Active Directory Windows 2000, Active Directory . , Active Directory. , Active Directory, Active Directory
. , Active Directory , Active Directory , Active Directory Active Directory. I, «
. II Active Directory , Active Directory, . IV,
.
I .
III ,
Active Directory Windows 2003», Active Directory Windows Server 2003. Active Directory , Microsoft. Active Directory , , , . , Active Directory . I, . • 1, « Active Directory», , Microsoft Windows 2000 Windows NT. Active Directory . , Windows Server 2003 , Windows 2000. • 2, « Active Directory», , Active Directory. Active Directory, Active Directory, Active Directory, , . • 3, «Active Directory », Active Directory. Active Directory (DNS - Domain Name System),
DNS, Active Directory. DNS, ,
Active Directory ,
Active Directory. », Active Directory,
4, « Active Directory Active Directory. , Active Directory Active Directory , .
•
.
DNS,
DNS,
II, « .
, . ,
Active Directory, Active Directory Active Directory Windows Server 2003», Active Directory . , , (OU - Organizational Unit),
,
, . Active Directory Windows Server , Active Directory. , Active Directory Windows Server 2003, , Microsoft Windows NT 4. Active Windows Server 2003 Windows NT, . II
2003 Directory .
•
5, «
Active Directory», Active Directory. : Active Directory. , , , , OU. 6, « Active Directory», , Active Directory. Active Directory , . 7, « Active Directory», , Microsoft Active Directory Windows Server 2003. , Windows NT, Active Directory Windows 2000. , , Windows NT Active Directory Windows Server 2003, Active Directory Windows 2000. Active Directory , . III, « Active Directory Windows Server 2003», , . III : . , Active Directory, Active Directory. . Active Directory , ,
•
•
. .
. .
, III
8, «
•
•
Active Directory», , Active Directory Windows Server 2003. Kerberos, Active Directory. 9, « Active Directory», Active Directory, . Active Directory ,
.
•
10, « Active Directory:
,
Active Directory. Active Directory», ,
. Active Directory Windows Server 2003 , inetOrgPerson, , 11, « », , Active Directory, , , , . 12, « »,
•
•
. .
.
. ,
. ,
13, «
•
,
. »,
.
, ,
, , .
,
. , Active
Directory
.
14, «
Active Directory», Active Directory, Active Directory ,
•
, IV,
. ,
Directory.
,
, Active Directory . Active Directory Windows Server 2003»,
«
•
. Active Directory. , -
. Active
15, «
»,
Directory
, Active Directory. Active
, , ,
Active Directory. Windows Server 2003 , , .
,
.
. , Active Directory Microsoft
.
,
5
,
,
,
,
2.
, (
12),
,
. 11.
, ,
.
,
,
,
. .
, . .
-
, .
, , .
, .
, .
. . . ,
.
. . ,
. .
,
. .
,
, .
асть I. раткий обзор службы каталога Active Directory Windows Server 2003 Active Directory Microsoft Windows Server 2003 , Microsoft. Active Directory , , . , Active Directory , . . 1, « Active Directory», , Active Directory Windows Server 2003. 1 2 , Active Directory. Active Directory (DNS - Domain Name System), 3 , DNS Active Directory. , , Active Directory, , Active Directory . 4 , .
1.
Active Directory
Microsoft Windows Server 2003 , Microsoft - Active Directory. Microsoft Windows 2000, Active Directory, Windows Server 2003, , . . «Windows Server 2003» Microsoft Windows Server 2003, Active Directory: Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition. , Active Directory Windows Server 2003, . Active Directory , , Windows Server 2003. Active Directory Active Directory, . , , Active Directory. .
Microsoft Active Directory Microsoft Windows.
Active Directory Windows Server 2003.
Windows Server 2000,
Microsoft .
,
,
,
. ,
(
,
)
, .
енеджер LAN для операционных систем OS/2 и MS-DOS 1987
, Microsoft ( OS/2 Microsoft LAN Manager. ,
MS-DOS), LAN Manager ,
.
. , .
Windows NT и SAM Microsoft Windows NT 3.1 Advanced Server. Windows NT Server 32« » Microsoft Windows for Workgroups, . Windows NT NOS (Network Operating System — ) SAM (Security Accounts Management ). , . , Windows NT. SAM Microsoft Windows NT NOS, Windows NT 3.5 Windows NT Server 4. SAM , . Windows NT Windows NT. SAM , . SAM 40 . , , 40000. ,
. ,
, .
Windows NT 4
,
,
, . , .
, , . , , . ,
: (complete trust).
(single domain), (multiple master domain,
(master domain), multimaster) 1-1.
. 1 -1.
,
Windows NT 4
, , .
. Windows NT 4
. .
,
, ,
-
.
.
,
Windows NT
,
Windows NT, . SAM
.
,
SAM, .
NOS.
,
, Manager For Domains ( ).
SAM
(UI - User Interface) Windows NT 4, ) Server Manager ( SAM Windows NT
User
Windows-NOS. Microsoft Exchange Server.
Windows 2000 и Active Directory SAM
NOS, Exchange Server.
Exchange Server, Exchange Directory ,
Directory.
- Exchange
.
, Exchange Directory (LDAP)
( NOS-
) Windows,
TCP/IP .
Microsoft
Exchange Server
-
Exchange Server
, ,
Exchange Server ,
.
Exchange Server.
Windows 2000. Active Directory,
Exchange Server
4, SAM
SAM Directory
Windows 2000. .
Windows 2000
, 70
SAM
40
Directory,
Active Directory Microsoft. Windows NT 4 Active .
,
.
,
Active
. Active Directory
,
. Compaq Computer Corporation,
Hewlett-Packard, .
, .
,
, Active Directory
, , , .
, ,
. , ,
Active Directory.
,
Windows NT 4, (OU - organizational unit), Windows NT 4. 1-2 Windows 2000. Active Directory . Active Directory , LDAP .500. Active Directory . Active Directory, LDAP, Active Directory Service Interface (ADSI) Edit Ldp.exe (LDAPActive Directory). Active Directory LDAP, . , , (GUI). . 1 -2.
----- /..и...»
Windows 2000
\
/■:■■::\CQntOSO.C0ITI
родажа л^ тдел кадров: .^ > , аркетинг роизводство. ------------------ ( ----------------
омены Windows Server 2003 и Active Directory ,
,
Active Directory, Windows Server 2003 Active Directory Windows Server 2003 ,
Windows 2000, Web Edition, Active Directory ,
. .
,
, MS-DOS,
LAN Manager,
Directory
, Active Directory
,
Active .
Windows Server 2003,
.
Active Directory , Microsoft NOS ,
.
,
, NOS, .
Windows
Novell Netware,
Intel, UNIX-
,
RISC ( Linux,
), ,
.
NOS . .
, ,
(
)
, . , Active Directory:
.500
LDAP.
ерархии .500 .500 (namespace) .500
Directory.
,
Active , . .
.500
(OID -Object Identifier), . .500,
Microsoft
Active Directory (
. (string). , Organization-Name (
.500 OID, ) (
)
(dotted), . . 2.5.4.10,
, LDAP-
- « »).
.500, Active Directory .500, Interconnection).
. (OSI - Open Systems :
cn=Karen Friske, cn=Users, dc=Contoso, dc=com
(
) .500
Contoso.com ,
.500, Karen Friske.
Users Contoso. ( OU),
1779, Directory Schema ( ADSI Edit 1-3
. .500 Request for Comments (RFC) http://www.faqs.org/rfcs/rfcl779.html. .500 OID, (snap-in) Active Active Directory), ADSI Edit ( ADSI). .500 OID Organization-Name, : CN=Organization-Name. attributelD ( .500) http://Organization-Name.
. 1 -3.
Organization-Name,
.
ADSI Edit
,
,
,
, . ,
(
, Active Directory Windows Server 2003.
).
,
, ,
.
:
•
Windows, , ,
,
,
;
•
Windows Intel -
Novell, NOS .
-
, (IT),
NOS.
•
,
, . Windows 2000 Active Directory, Windows Server 2003 Active Directory, Novell Directory Services Novel Netware 5 ; (DNS) UNIX, DHCP (Dynamic Host Configuration Protocol ), /
(firewall/proxy) ),
NAT (Network Address Translation RISC. -
(
.
) UNIX-
, , ;• Intel
, Linux RISC. ,
, , Linux,
, , .
, Windows-
Windows). .
LinuxSMB (Server Message Block ,
блегченный протокол службы каталогов (LDAP) LDAP , Directory Windows Server 2003. X.500/OSI. Active Directory Windows Server 2003 , ADSI (Component Object Model — LDAP TCP/IP . LDAP , Active Directory» . LDAP , :
Active LDAP (API) LDAP Wldap32.dll. Active Directory LDAP ). , LDAP« ,
LDAP: // cn=Karen Friske, cn=Users, dc=Contoso, dc=com
, LDAP( ) http://www.faqs.org/rfcs/rfcl777.html. Active Directory, Suptools.msi, Support\Tools Ldp.exe, UDP (User Datagram Protocol — LD , Directory, Ldp.exe, Active Directory, UDP 389, -
. LDAPRFC 1777, LDAP, Ldp.exe, .
Windows Server 2003. Active Directory ) Active , , .
Karen Friske, Ldp.exe.
LDAP-
1-4
. 1-4.
Karen Friske,
Ldp.exe
Active Directory : «
Active Directory?».
Active Directory
Windows Server 2003, , Microsoft Exchange Server 2000. , Exchange Server 2000. Active Directory
.
Exchange Server 2000
Active Directory, Active Directory Active Directory,
Windows Server 2003.
ентрализованный каталог Active Directory
, .
, ,
.
, ,
Exchange Server 2000.
, .
(forest -
Active Directory) Windows
Server 2003 (UPN -User Principal Name),
, [email protected]. ,
, . UPN Active Directory,
Active Directory, .
елегированное администрирование Windows NT 4 SAM « ». , Admins.
, Domain ,
,
, Admins.
Domain .
,
Active
Directory
.
Delegation Of Control Wizard ( Active Directory, . ,
) ,
-
,
.
нтерфейс общего управления ,
Active
Directory
. —
Microsoft (
— Microsoft Management Console).
Active Directory . Active Directory And Computers (Active Directory: Trusts (Active Directory: (Active Directory: ). Windows Server 2003,
Active Directory Users ), Active Directory Domains And Active Directory Sites And Services , DHCP DNS.
) ,
нтегрированная безопасность Active Directory
Windows Server 2003
.
Windows Server 2003 Windows Server 2003 Windows Server 2003: Kerberos v5 NT LAN Manager (NTLM). Kerberos , , Windows 2000 Professional Microsoft Windows XP Professional. , (Windows NT 4, Microsoft Windows 98 ) NTLM. NTLM Windows XP Professional Windows 2000, , Windows NT 4, Windows 2000 Windows Server 2003. Active Directory Windows Server 2003. Windows Server 2003, Active Directory , (SID - Security Identifier) , SID , . SID Active Directory. , , , . .
асштабируемость ,
, Active Directory .
, , , . Active Directory Active Directory,
. Active Directory,
,
, ,
.
Active Directory Windows Server 2003 Active Directory, Active Directory
, 2003.
, Windows Server 2003. Windows Server
.
совершенствования в оснастке Active Directory Users And Computers Directory:
Active Directory Users And Computers (Active Windows Server 2003
). . ,
, .
,
, (Account Options: Password Never Expires ), , Active Directory Users And Computers
: , . .
,
,
,
, , .
ункциональные уровни Active Directory Windows Server 2003
, ,
. ,
, Active Directory
Windows Server 2003.
, Windows Server 2003. . Windows Server 2003, Windows 2000.
NOS,
, Windows NT 4
,
, — «Windows 2000» ( Active Directory , Windows Server 2003 Windows Server 2000. Active Directory, Windows , . . , Windows 2000 Windows NT 4. Active Directory Windows Server 2003 ) native-mode ( ) Windows Windows Server 2003 Microsoft Active Directory, Active Directory. . . . 2-1 2-2.
— «Windows 2000 mixed»). ,
Server 2003 . mixed-mode ( 2000.
,
ереименование домена Active Directory (GUID — Globally Unique Identifier)
(SID - Security Identifier)
. ,
,
,
Active Directory,
, .
IT-
. , .
азделы приложений каталога (
)
Active Directory
.
,
, Active Directory. Active Directory,
. DNS. Active Directory, DNS , DNS-
DNS.
, ,
-
DNS-
. ,
, .
ополнительный контроллер домена, инсталлированный с резервных средств хранения информации Active Directory. Windows 2000 (
) ,
, Windows Server 2003 System State ( 2003.
.
Active Directory
)
Windows Server ,
, .
езактивация объектов схемы Windows Server 2003 , ,
«
-
.
,
« (
»
« ).
»,
. ,
»,
,
integer (string)
,
,
,
. «
»
. «
».
,
, ,
.
тключение сжатия трафика репликации между различными сайтами Active Directory Windows Server 2003 . ,
, ,
Windows 2000,
,
,
. (
), .
, .
ля входа в систему не нужен доступ к глобальному каталогу ,
Windows 2000 (native-mode), (GC - Global Catalog) . -
, .
, GC,
Active Directory
, .
Windows Server 2003
, ,
GC. GC-
, .
,
GC,
,
.
совершенствование репликации группового членства Windows 2000
,
,
, . , .
, Windows Server 2003 .
совершенствование UI-селектора объектов (object picker) Directory.
(UI), Active
, UI-
,
,
. ,
. , .
,
,
.
, UI-
, Active Directory.
еханизм удаления неактивных объектов , (tombstone) . , Active Directory
-
. «
-
,
, , ,
»— ,
.
-
, , . «
-
» ,
, ,
-
.
, .
оддержка класса inetOrgPerson Active Directory Windows Server 2003
inetOrgPerson RFC
http://www.faqs.org/rfcs/rfc2798.html. Active Directory inetOrgPerson
,
2798, inetOrgPerson LDAPActive Directory Windows Server 2003.
,
-
,
Microsoft ,
2000,
. NOS Windows
, .
Windows Active Directory. , . Active Directory,
2. Directory
Active Active Directory Microsoft Windows Server 2003 . Active Directory
:
,
, .
Active Directory
,
( )
.
,
, .
Active Directory. Active Directory. , . .
Active Directory Active Directory
, Active .
. Directory
, Active Directory
, .
,
. (operations master roles). ,
, (GC — Global Catalog). Active Directory
,
.
ранилище данных каталога Active Directory . . ,
Ntds.dit %SystemRoot%\NTDS, ,
,
. Ntds.dit ( , Active Directory. Windows Server 2003,
%SystemRoot%\ System32. ) ,
Microsoft
. Active Directory (Dcpromo.exe) Ntds.dit , NTDS,
System32
NTDS. .
, .
онтроллеры домена ,
Windows Server 2003, Active Directory,
. ,
. (multimaster),
. 4, . , ,
Active Directory, Active
Directory (GC)
. (operations masters).
ерверы глобального каталога (GC). Context)
.
GC
, NC.
GC
, Active Directory. .
GC,
.
, Active Directory Schema (
GC, Active Directory), GC,
. To The Global Catalog (
Replicate This Attribute . true , , )
isMemberOfPartialAttributeSet
(
, (NC - Naming
). . GC.
, . Global Catalog Server ( Active Directory Sites And Services ( . . 5
, GC, ) Active Directory). GC ,
, Directory.
,
GC-
.
GC
-
,
GC-
-
Active
,
, ,
GC), GCGC, GC-
. , Access Protocol —
,
.
, .
, GC-
( , ,
LDAP),
,
(Lightweght Directory 3268 (
).
, GC,
. , ,
GC-
,
. ( Microsoft Windows 2000 Windows Server 2003, ,
, 2003. Active Directory
.
, Windows Server .)
.
, ,
,
. .
(GC). ,
,
GC. . Windows Server 2003 , GC. ,
GC, .
(
8
). ,
Windows Server 2003 , GC,
GC-
.
,
Active Directory) Properties ( Caching ( ,
Active Directory: Sites And Services ( . NTDS Site Settings ( NTDS), ). Properties Enable Universal Group Membership ), , . GC.
Windows Server 2003 .
,
,
. ,
. ) 2-1
mixed ( Windows 2000. ,
, Windows 2000; . . 2-1.
,
Windows (
)
2000 (
mixed Windows NT 4, Windows Windows Server 2003.
) Windows 2000 native (
)
2000,
Windows 2000, Windows Server 2003.
Windows Server 2003 interim Windows NT 4, Windows Server 2003. ( ) Windows Server 2003. Windows Server 2003 2-2
, .
. 2-2.
,
Windows
2000 )
(
Windows NT 4, Windows Windows Server 2003.
2000,
Windows Server 2003 interim Windows NT 4, Windows Server 2003. ( ) Windows Server 2003. Windows Server 2003
Server 2003.
Windows Server 2003, , Windows 2000 native Windows Windows 2000 native, Windows Server 2003, , ( )
,
Windows Server 2003. , . , , [email protected]).
. (GC)
GC
, (
,
(UPN - User Principal Names), . , .
,
GC, ,
озяева операций Active Directory , .
. , (authoritative) , , FSMO (Flexible Single Master Operations — Active Directory: ; ; RID; PDC (Primary Domain Controller — .
• • • • • ,
. ; ).
); .
, . . Active Directory .
. . , , . .
,
. , .
,
(
Schema Admins —
)
.
, ,
.
, .
,
( . Active Directory Schema ( Ntdsutil. .
) fSMORoleOwner
Active Directory)
, . ,
.
,
. ,
(RPC)
,
. Dcpromo.exe
,
Active Directory. . Dcpromo.exe . .
, , Ntdsutil. ,
. Dcpromo.exe
. (RID) ,
RID,
. ,
. (RID),
(SID), . RID-
RID
RID-
.
RID-
,
RID-
RID-
.
RID,
RID-
. .
-
RID-
, .
RID,
, ,
.
RID-
RID-
,
,
,
RID-
,
. ,
RID,
.
PDC PDC
,
Windows Server 2003 , Windows 2000 mixed (
, ,
Windows Server 2003 (Microsoft Windows NT 4 3.51) — Backup Domain Controller). PDC , BDC(Domain Master Browser Service). PDC , , , Windows 2000 native ( ) 2003, PDC . , , PDC, , PDC. PDC , .
.
,
Windows 2000. ), (PDC) (BDC ,
, . Windows Server , PDC.
,
, ,
. .
, .
ередача ролей хозяина операций ,
. .
• • •
: Active Directory Schema; — Active Directory Domains And Trusts ( Active Directory); RID, PDC — Active Directory Users And Computers ( Active Directory). -
:
. . .
, ,
,
,
.
.
. 15.
хема ,
Active Directory. .
Active Directory, ,
.
,
,
,
. .
,
. .
— Active Directory,
,
User (
). User. .
, . ,
,
.
, User, User.
organizationalPerson, , ,
,
. ,
Active Directory .
, display Name, -
, ,
. Active Directory
.
. . .
( Computer
) , ,
Computer (
, Computer ), User. Computer . Active Directory Schema . 2-1 , User, organizationalPerson, . . , , . User (
). ,
. 2-1.
Computer (
),
Active Directory Schema
Active Directory
, .
Category 1 (
1), ,
,
. Active Directory
.
, ,
,
,
,
Category 2 (
, Active Directory. Server 2000,
. , 2). , Microsoft Exchange
Active Directory . ,
Active Directory, .
Format Directory Exchange (LDIFDE)
, LDAP Data Interchange Comma Separated Value Directory Exchange (CSVDE). , Active Directory Service Interfaces (ADSI)
Microsoft Visual Basic. LDIFDE .
. CSVDE
ADSI ADSI Edit Microsoft Windows Platform (SDK), http:// www.microsoft.com/msdownload/platformsdk/sdkupdate. ac ADSI Platform SDK http://msdn.microsoft.com/library/default.asp?url=/library/ enus/netdir/adsi/directory_services.asp. Windows Server 2003 Active Directory Schema. , Regsvr32 Schmmgmt.dll . Schema Admins ( ). , , , , , . . Active Directory. , . Active Directory Schema User. . 1. Active Directory Schema ( Active Directory). 2. Attributes ( ) . 3. Action ( ) Create Attribute ( ).
4.
Schema Object Creation ( ) ). Create New Attribute ( ) Identification ( ): Common Name ( ); LDAP Display Name ( LDAP); Unique X500 Object ID ( 500); Description ( ). Syntax And Range ( ) Syntax ( ); Minimum ( ); Maximum ( ). , (Multi-Valued) . , , F1.
Continue ( 5. • • • • 6.
• • • 7.
:
500 Object ID . ,
Active Directory (OID — Object Identifier) OID. ,
Standards Organization) National Standards Institute). OID, ,
, OID, (ISO — International (ANSI - American .
1.2.840.
.
:
• • • •
1 - ISO; 2-ANSI; 840 —
; , ,
.
. , Employee Start Date ( ), 1.2.840. .12. OID Active Directory 1.2.840.113556.1.5.15. ISO, ANSI . 113556 ANSI Microsoft, 1Active Directory, 5 — Active Directory, 15 Contact ( ). Microsoft Windows Server 2000 Resource Kit OIDGen, OID OID. , . Microsoft OID. . http://msdn.microsoft.com/certification/ad-registration.asp. 2-2 Active Directory Schema ( Active Directory).
. 2-2.
,
. . Active Directory Users And Computers (
, Active Directory), ,
.
,
, .
, ,
.
Directory Services ( ) Platform SDK http:// msdn.microsoft.com/library/default.asp?url=/library/en-us/ netdir/ad/extending_the_user_interface_for_directory_objects.asp. , ,
. .
(
)
, .
,
Windows Server 2003 , .
, . , . . .
, Category 2. ,
Category 1 ,
. ,
. isDefunct ADSI Edit ( ADSI) 2-3 , EmployeeStartDate, ,
true (
Category 2, ). , Active Directory Schema ( , ,
Active Directory).
. .
,
.
, isDefunt
, false ( /
. ). . .
. 2-3.
Active Directory Schema (
Active Directory)
Active Directory Active Directory , Active Directory.
, , ,
Active Directory • ; • ;
• • • •
. :
; ; ; . , ,
.
5
, (
(
)
,
.
,
)
.
азделы Active Directory ,
Active Directory .
, .
naming contexts).
Active Directory Ldp.exe
ADSI Edit (
(NC . 2-4).
. 2-4.
Active Directory
,
ADSI Edit
. : , Active Directory Users And Computers (
,
Active Directory). .
,
, . , , . Exchange Server 2000, Microsoft Internet Security And Acceleration (ISA) Active . ISA, ISA Active Directory. , ,
, . Server Directory, , ISAActive Directory.
. , . .
,
, . .
, Active Directory,
, .
. ,
,
.
.
,
GC
. ,
.
GC
GC.
true (
isMemberOf Partial Attributes et. GC.
, ),
Active Directory Windows Server 2003 . — Domain Name System).
Active Directory (DNS (integrated) Active Directory ForestDnsZones DomainDnsZones. Active Directory, .
,
, , GC. , .
, .
,
. ,
.
,
, .
Directory. , DNSdc=Configuration, dc=Contoso, dc=com. AppPartitionl Contoso.com,
Active Contoso.com DNS-
dc=AppPartitionl, dc=Contoso, dc=com. , ,
,
. , AppPartitionl. dc=AppPartition2, dc=AppPartitionl, dc=Contoso, dc=com. DNS, Contoso.com, DNS. . DNS. LDAP, LDAP,
, . dc=AppPartition,
,
. , .
.
Active Directory
.
Domain
Admins ( .
) ,
.
, .
Domain Admins
,
,
. ,
.
, . ,
,
,
. ,
,
.
С
,
. .
. Ntdsutil, . Windows Server 2003 Help And Support Center ( 2003). ,
Windows Server , , «Using application directory partitions»
msdn.microsoft.com. , , Active Directory
.
. . 4.
омены Active Directory .
Active Directory. Windows Server 2003, , -
, .
(
,
,
). Active Directory
. ,
. ,
Active Directory. Contoso — Contoso.com. (non-dedicated)
(dedicated) , Active Directory. ( ) , , ) -
(
.
-
, , . —
, Domain Admins ( ,
Administrator ).
-
. . 5.
(peers) ,
. ,
,
Contoso,com
ис. 2-5. омены Active бщепринято, , . Contoso.com,
2-6
.
2-5
.
Fabrikam.com
Directory, организованные как равные по положению , Active Directory . , Contoso NAmerica.Contoso.com Contoso, . , , , Sales.NAmerica.Contoso.com. - Contoso.
Sales.NAmerica.Contoso.com
. 2-6.
Contoso
еревья доменов ,
Active Directory , Active Directory . , , ,
. .
, . ,
,
.
. DNS,
. 3. . Contoso.com, ,
, (forest root domain), Contoso, , , Fabrikam.com.
,
Fabrikam, Fabrikam.
2-7
Contoso
. SaJes.NAmerica.Contoso.com
. Contoso
Sales. Europe.Fabrikam.. com
2-7.
еса . Active Directory.
. :
•
.
. ,
.
•
. , .
, Active Directory (Echange Server 2000 GC.
•
,
щ
•
ISA). .
UPN. .
(security groups). . ,
(
, ) ,
Enterprise Admins Administrators (
, Schema Admins Enterprise Admins , .
)
.
•
. ,
. .
2-8
Contoso.
оверительные отношения . ,
(
,
) .
,
, Active Directory. , ,
.
• • •
, ; ; ;
:
•
.
.
,
,
NAmerica.Contoso.com
Contoso.com,
NAmerica.Contoso.com Contoso.com. NAmerica.Contoso.com . ( NAmerica.Contoso.com. NAmerica.Contoso.com
Europe.Contoso.com Europe.Contoso.com NAmerica. Europe.Contoso.com, Contoso.com, Contoso.com .
,
Contoso.com, -
Contoso.com ),
-
,
(tree root).
Contoso.com. ,
Fabrikam.com. , . Contoso.com NAmerica.Contoso.com Contoso.com, , NAmerica.Contoso.com. Contoso.com , . . NAmerica.Contoso.com Contoso.com Fabrikam.com. NAmerica. Fabrikam.com ,
Contoso.com .
, , .
,
,
. , . (shortcut trusts). ,
, Contoso,
Sales. Euro pe. Contoso. com
. 2-9.
. 2-9.
Research. NAmerica.Con toso.com
Contoso
Sales.Europe.Contoso.com Research.NAmerica.Contoso.com, Sales.Europe.Contoso.com ,
,
.
, . ,
Sales.Europe.Contoso.com Research.NAmerica.Contoso.com . 2-10
, . , ,
(
. , ).
Windows Server 2003. .
, ,
.
,
,
UPN.
• .
,
Forest 1
Forest2, Forest3,
Forest2
Forestl
Forest3.
•
, .
,
GC,
. , .
• . , . 2-11
Contoso.
Conlo50.com
NWTrades.com
V, HWTraders Eu rope.Contoso.com N Ann e rica. Contoso.com
Contoso .
2-11. Contoso.com
Contoso NWTraders.com,
—
(Realm Windows-
Windows Server 2003
Trusts). Kerberos v5.
Kerberos
,
, Kerberos-
Kerberos. ,
-
Kerberos v5. , .
айты Active Directory, .
, ,
,
,
. ,
. Active Directory. Active Directory .
,
,
. (IP),
(LAN)
(WAN), WAN-
. , ,
. Windows Server 2003 .
•
,
. , GC-
.
,
,
. ,
.
,
. ( .)
4
•
Windows Server 2003 , Microsoft Windows XP Professional, , , . 3 , (SRV), . , DNS. , . Windows 2000 native ( ) Windows Server 2003, GC . GC, . ( . 3.) . , Windows NT 4 SP6a, Active Directory, Directory Services Client ( ), http://www.microsoft.com/ windows2000/server/evaluation/news/bulletins/ adextension.asp. , Windows 95 Windows 98, Directory Services Client Windows Server 2000. • , . , , , . , (DFS Distributed File System), . DFS , , DFS, WAN, . Windows Server 2003 . Active Directory Windows Server 2003, , Default First Site Name ( ), , . , IP. , Windows Server 2003, , , IP. Active Directory Sites And Services (Active Directory: ). , . , , . , , . . IP, , Default First Site Name. , Windows Server 2003, . , Active Directory. , . 2-12 , Seattle : Contoso.com NAmerica.Contoso.com. NWTraders.com . .
Windows 2000
я.
. .
3
DNS ,
4 .
5 Active Directory.
рганизационные единицы Active Directory Windows Server 2003 .
, Active Directory, ,
, ,
,
. (OU - Organizational Unit) Active Directory. OU , Active Directory. OU .
, , .
.
.
2-13
OU
Contoso.
Contoso.com
SeattfeOU
CalgaryOU DenverOU
! __ ProductOU ___ I ___
R&DOU OesiijnOU
ProductOU
MarketingOU
ManufacturingQU SalesOU
OU
. 2-13.
,
• •
; ;
:
• • • • • •
; inetOrgPerson; ; ; ; . . .
. , OU.
, ,
(
,
).
,
, OU. OU.
Windows
Properties (
. (ACL — Access Control List), OU
OU OU. ACL-
.
, ,
Help Desk (
OU, Resources (
)
,
-
.
) .
)
Human
, OU,
.
OU
, .
(
,
, ), Logon Locally (
OU )
OU.
OU. , . (group policy) .
OU, OU
Object Editor (
. Group Policy ,
) . ,
, . 2-3 Group Policy Object Editor.
, ,
. 2-3.
Administrative templates ( )
, , , , .
Security (
)
, , , .
Software (
installation . ) Scripts (
)
, , . Folder ( )
redirection . My Documents (
)
,
, , . OU.
, Object),
(GPO — Group Policy , OU. .
, . ,
OU
. OU
. .
Active Directory Windows Server 2003. , Active Directory
-
. .
Active Directory.
,
3. Active Directory Active Directory Microsoft Windows Server 2003 (DNS). , 2000
DNS Microsoft Windows , , . Windows Server 2003
Microsoft Windows XP Professional Microsoft Exchange Server 2000, , DNS , . , Active Directory DNS Windows Server 2003. DNS . , Active Directory DNS, . DNS Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; Windows Server 2003, Datacenter Edition. Windows Server 2003 , Active Directory. . Windows Server 2003, Web Edition Active Directory.
DNS DNS
. ,
,
, 207.46.230.219. IP. , IP. .
, www.microsoft.com, DNS
IP-
, Web-
Microsoft
. , a DNS
DNS , DNS, , http://msdn.microsoft.com/ library/en-us /dns/dns_concepts. asp.
И
DNS
Active Directory, . Microsoft
.
3-1
.
(«.»). .
DNS, , (generic) ( , uk, fr, br),
. 3-1.
(com, edu, mil, net, org), (biz, info, pro . .),
DNS
2001
.
, . . .
DNS-
,
.
(FQDN www.NAmerica.Contoso.com. FQDN ,
— -
Fully
Qualified
Domain
DNS.
,
DNS,
Name),
,
FQDN
.
(«.»),
, com
.
,
FQDN
Contoso
NAmerica. .
www -
аспределенная база данных DNS
, . ,
,
,
. ,
.
DNS,
. ,
DNS
(
)
(
).
DNS-
DNS. .
.
,
, DNS-cep-
. ,
.
,
,
.
DNS,
,
, .
, . . ,
,
, .
,
, DNS.
, com,
,
Contoso,
. Contoso
,
Contoso.com. , DNS. , ,
, .
,
DNS-
DNS-
,
(forwarders) .
,
DNS-
.
роцесс разрешения имен DNS (
,
IP.
. 3-1),
www.NAmerica.Contoso.com. 1. -
. ,
DNS (
),
-
,
,
IP-
. IP-
DNS-
(
DNS-
).
: IP,
,
,
,
. 2.
DNS-
, IP,
.
, . ,
DNS-
,
,
.
DNS,
IPwww.NAmerica.Contoso.com. 3.
,
, .
DNS-
-
(referral). DNSIP-
.
4.
, Contoso.com.
DNS-
DNSNAmerica.Contoso.com DNSIP-
5. DNS-
. , Web. www.NAmerica.Contoso.com.
6. DNS,
DNSContoso.com, NAmerica.Contoso.com. ,
,
IP-
7. 8.
.
-
.
DNS-
, DNS.
, 9. , Resource Records).
DNS,
(RR — . Windows Server 2003.
DNS3-1. . 3-1.
Windows Server
2003
Start of Authority (SOA) -
,
, ,
(TTL — Time to Live) (
.
Host (A) -
. 3-2). IP-
.
,
Mail Exchanger (MX) .
DNS-cep. -
. Name Server (NX)
Pointer (PTR) -
. , IP-
. .
Canonical (CNAME)
Name -
.
Service Locator (SRV) IP-
. 3-2.
,
. , . Active Directory SRV
SOA
.
.
Contoso.com
3-2
SOA
DNS. .
DNS
,
Webl.Contoso.com
Webl.Contoso.com IN A
192.168.1.100.
DNS-домены, зоны и серверы DNS
,
DNS. , . DNS,
, ,
,
—
DNS-
. Contoso.com. DNS, . . DNS
, DNS-
,
, .
.
DNS.
DNS. DNS: IP-
. . SOA , .
IP-
NS,
MX, CNAME
-
( ). SRV. DNS-
. IPSOA
, NS,
-
. PTR.
, ,
PTR
,
. .
. 3-1. .
,
IP-
,
.
,
, .
, L168.192.in-addr.arpa. . .
,
in-addr.arpa
(150.38.0.0),
IP192.168.1.0, DNS ,
38.150.in-addr.arpa. (Primary Name Server) ( , DNS-
- primary zone). ,
, .
, ,
. (Secondary Name Server) .
, .
, . .
DNS DNS Comment 1995 ( ,
.
Request for
) (incremental zone transfers), , Request for Comment
. 1996.
, ,
.
, . DNS.
SOA
.
Windows Server 2003
, Active Directory,
(integrated) Active Directory. -
,
(caching-only). ,
, .
, . ,
DNS
. DNS(
, .
, DNS).
-1
, ,
DNS.
. ,
DNS-
Windows Server 2003, ,
(caching-only)
. ,
.
authority)
DNS, (authoritative)
(zones of .
.
,
DNS-
Contoso.com, . DNS-
DNSDNS, . DNS2 DNS2
.
. 3-3. Contoso.com. DNS1 Webl.Contoso.com, a DNS2-cepBep IPWebl. Webl, , Contoso.com, , », ,
DNS1, IPDNS1. «
. че
Web1 .Contoso.com
. 3-3.
www.Contoso.com
DNS-
ы .
ногда возникает ситуация, когда компания имеет два DNS-сервера, являющимися полномочными для одного домена, и интернет-имя DNS компании и ее внутреннее имя DNS идентичны (как показано на рис. 3-3). ервер DNS1 находится с внутренней стороны брандмауэра, а сервер DNS2 - с его внешней стороны. ервер DNS2
используется для разрешения DNS-запросов клиентов интернета, в то время как DNS1 используется для внутренних клиентов и для SRV-записей Active Directory. оскольку оба сервера полномочны для одной и той же зоны (Contoso.com), они не будут отправлять запросы об этом домене друг другу. этом случае необходимо поддерживать уникальную зонную информацию на каждом DNS-сервере. нешний DNS-сервер, вероятно, будет иметь относительно маленький зонный файл, состоящий из веб-серверов и -записей, которые должны быть доступны из интернета. нутренний DNS-сервер будет иметь намного больший зонный файл, содержащий все записи контроллера домена, все внутренние записи сервера и, возможно, записи хоста для всех клиентских компьютеров в сети. динственное дублирование между двумя зонными файлами может состоять из некоторых внешних записей DNS. апример, когда внутренние клиенты соединяются с www.Contoso.com, вы можете потребовать, чтобы они соединялись с тем же внешним веб-сервером, к которому обращаются интернетклиенты. ля этого нужно включить запись хоста для вебсервера в зонный файл на DNS1. сли вы не сделаете этого, то внутренние клиенты не смогут соединяться с веб-сервером.
DNS
, .
,
, ,
Contoso.com, cornContoso.com.
, (delegation records). , . , 3-4 , Contoso.com. DNS2 DNS3 NAmerica.Contoso.com. DNS1 NAmerica.Contoso.com, DNS1 , . NAmerica.Contoso.com,
DNSl.Contoso.com . DNS2 DNS3 DNS1, .
DNS . DNS DNSDNS. (
.
. 3-1), DNS-
,
. ,
, DNS, Contoso.com
Contoso.com. Fabrikam.com .
-
(forwarder) , DNS, . , Contoso.com
. DNS-
Fabrikam.com.
DNS-
Contoso , , .
. DNS-
, . IP-
. 3-4.
.
,
DNS-
,
. DNS-
, .
DNS-
,
3-5. DNS-
DNS-
-
,
.
DNS-
,
,
IP-
.
щ
нтернета' орневые DNS ве ы
1
. 3-5.
3
,
DNS, Windows Server 2003,
DNS-
, . , .
. ,
DNS,
, DNS-
. ,
, .
.
,
DNS-
, DNS-
Cache.dns,
. DNS-
DNS-
,
,
. DNS-
Windows Server 2003 .
, , .
,
DNS-cep-
,
.
,
. Do Not Use Recursion For This Domain (He Forwarders ( ) Properties
, (
) DNS-
.
DNS-
) DNS-
.
,
, DNS. .
,
, DNS Windows Server 2003
. .
«
»
.
DNS DNS RFC 2136 .
. DNS-
, RFC 2136
,
DNS-
,
. DNS (DDNS). DNSWindows Server 2003 DNS. Windows 2000 Windows XP Professional, Windows 2000 Server; Windows 2000 Advanced Server; Windows 2000 Datacenter Server; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition Windows Server 2003, Datacenter Edition DNS. Windows 2000 Windows Server 2003 SRVDNS, . DNSWindows Server 2003 (DHCP). DHCPWindows Server 2003 DNS, Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows Me Microsoft Windows NT. DNS . , DNS, , , DNS, . DNS Windows Server 2003 . Active Directory. , DNS. Authenticated Users ( ) DNS. , ACL (ACL - Access Control List) DNS. DNS , DNS. , Active Directory Windows Server 2003 SRV, DNSWindows Server 2003.
DNS
Active Directory Windows Server 2003
Active Directory
DNS. ,
Windows XP Professional DNS Exchange Server 2000 , С
, DNS
. NetBIOS,
NetBIOS ,
IP-
Windows 2000 . , Active Directory, . , Active Directory, Exchange Server 2000, , Exchange Server 2000. Windows 95, Windows 98, Windows Me Windows NT Windows Server 2003. Windows (WINS - Windows Internet Naming Service) . Windows Server 2003 NetBIOS WINS.
лужба DNS Locator DNS Locator ( ,
DNS)
Active Directory,
, Windows NT NetBIOS Domainname WINS. , . . SRV Windows Server 2003
.
,
DNS . . NetBIOS. , ,
Windows 2000 Windows XP Professional. Windows Server 2003.
SRV
DNS,
Active
Directory (service locator) RFC 2782,
SRV. (
, Active Directory DNSTCP/IP. ,
SRV -
, ,
Active Directory, SRV . . 3-2). _ldap._tcp.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com
. 3-2.
SRV
,
_ldap
.
_kerberos, _kpassword , _tcp contoso.com
_gc. . TCP
(UDP). ,
600
. «
(TTL Time to Live)
( IN SRV
»
). DNS-
. SRV.
0 .
SRV, , .
100
. SRV, , .
389 dc2.contoso.co m , (LDAP) DNS.
,
.
,
, .
, Contoso.com, Windows Server 2003 ,
dc2.contoso.com. SRV.
contoso.com. 600 IN A 192.168.1.201 _ldap._tcp.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com. _ldap._tcp.Default-First-Site-Name._sites.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com. _ldap._tcp.pdc._msdcs.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com. _ldap._tcp.gc._msdcs.contoso.com. 600 IN SRVO 100 3268 dc2.contoso.com. _ldap._tcp. Default-First-Site-Name._sites._gc._msdcs.contoso.com. 600 IN SRV 0
100 3268 dc2.contoso.com. _ldap._tcp.64c228cd-5f07-4606-b843-d4fd114264b7.domains._msdcs.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com. gc._msdcs.contoso.com. 600 IN A 192.168.1.201 175170ad-0263-439f-bb4c-89eacc410ab1._msdcs.contoso.com. 600 IN CNAME dc2.contoso.com. _kerberos._tcp.dc._msdcs.contoso.com. 600 IN SRVO 100 88 dc2.contoso.com. _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com. 600 IN SRV 0 100 88 dc2.contoso.com. _ldap._tcp.dc._msdcs.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com. _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com. _kerberos._tcp.contoso.com. 600 IN SRV 0 100 88 dc2.contoso.com. _kerberos._tcp.Default-First-Site-Name._sites.contoso.com. 600 IN SRV 0 100 88 dc2.contoso.com. _gc._tcp.contoso.com. 600 IN SRV 0 100 3268 dc2.contoso.com. _gc._tcp.Default-First-Site-Name._sites.contoso.com. 600 IN SRVO 100 3268 dl2.contoso.com. _kerberos._udp.contoso.com. 600 IN SRV 0 100 88 dc2.contoso.com. _kpasswd._tcp.contoso.com. 600 IN SRV 0 100 464 dc2.contoso.com. _kpasswd._udp.contoso.com. 600 IN SRV 0 100 464 dc2.contoso.com. DomainDnsZones.contoso.com. 600 IN A 192.168.1.201 _ldap._tcp.DomainDnsZones.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com. _ldap._lcp.Default-First-Site-Name._sites.DomainDnsZones.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com. ForestDnsZones.contoso.com. 600 IN A 192.168.1.201 _ldap._tcp.ForestDnsZones.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com. _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com.
Windows Server 2003, %systemroot%\ DNS,
. Netlogon.dns, system32\config. DNS. ,
SRV-
SRV.
:
•
_ldap Active Directory , LDAP , Windows Server 2003
,
LDAPLDAP. LDAP-
.
, _ldap SRV
; _kerberos Windows 2000 Windows XP Professional. SRV_kerberos (KDC - Key Distribution Centers) . Windows Server 2003 KDC; • _kpassword — kerberos ( Windows Server 2003 kerberos); • _gc , Active Directory. Active Directory. SRV, 3-2. Active Directory IP, . , , , . , , . , , , . SRV_msdcs, . , SRV, , Microsoft. , LDAP kerberos-cep, Microsoft. SRV DNS. Windows Server 2003 (generic)
•
(
, _ldap._tcp.contoso.com), , Windows 2000. ), dc ( ).
: gc (
, Microsoft, . . )
_msdcs. Windows Server 2003 pdc ( (GUID -
globally unique identifier)
.
GUID .
-
,
. DomainDnsZones. .
«
ForestDnsZones »
Active Directory ,
(
)
,
. Windows 2000 ,
Windows Server 2003, , Windows XP Professional, .
, .
1. (RPC)
, .
RPC,
, ,
, Net Logon (
2. API-
). (domain locator),
DsGetDcName (), 3-3.
. 3-3.
,
DsGetDcName
DsGetDcName
DNS
DS_PDC_REQUIRED DS_GC_SERVER_REQUIRED
_ldap._tcp.pdc._msdcs.domainname _ldap._tcp.sitename._sites.gc. _msdcs.Forestrootdomainname
DS_KDC_REQUIRED
_kdc._tcp.sitename._sites.dc ._msdcs.domainname _ldap._tcp.sitename._sites._ msdcs.domainname
DS_ONLY_LDAP_NEEDED
DsGetDcName sitename. DS_PDC_REQUIRED, , . DNS, . , DS_KDC_REQUIRED , _kdc._tcp.dc._msdcs.forestrootdomain. Э , , DNS. DomainGUID DsGetDcName (). _ldap._tcp.domainGUID.domains._msdcs.forestname. Э , . 3. DNS , . LDAP , UDP389 , . 0,1 , , . , . 4. , , , . , . , , Active Directory, . .
,
, Active Directory, ,
. , ,
.
,
? -, . , Active Directory, .
IP-
Active Directory,
IP-
, . IP,
. . (
,
), . DNS-
,
.
IP-
,
,
.
. ,
Active Directory, .
нтегрированные зоны Active Directory DNS 2003 Active Directory
• Active Directory.
• Active Directory, Active Directory. , , Active Directory
Windows Server (integrated zones) Active Directory. . DNS, . Active Directory.
, . . DNS. DNS-
• .
Active Directory DNS .
, , Active Directory , .
.
DNS-
DNS. . Active Directory, .
,
Active Directory. Active Directory Windows Server 2003,
DNS С
, ,
. Active Directory
.
.
, , , Windows Server 2003,
. DNS
DNS, DNS.
Active Directory. Active Directory, DNS Active Directory
( . . 3-6). Microsoft (MMC -Microsoft Management Console) , Active Directory Users And Computers ( Active Directory) . Active Directory Users And Computers ( Active Directory) View ( ), Advanced Features ( ). , System ( ), Microsof tDNS. Active Directory . че
ы . DNS Windows 2003
DNS Server
орпорация, состоящая из четырех различных компаний, каждая из которых была независимой до момента слияния, планировала развертывание Active Directory в . 3-6. Active Directory системе Windows 2000 Advanced Server. аждая компания настаивала на поддержке собственного пространства имен в пределах одного леса; это означало, что должен быть развернут лес с назначенным (dedicated) корневым доменом и четырьмя доменами компании (см. рис. 3-7). се компании были расположены в разных городах в анаде.
3ontoso.com
. 3-7.
Fabticam.com
TaiispinToys.com
WingtipToys.cor
Active Directory
оскольку смежного пространства имен для всей компании не существовало, нормальный процесс делегирования дочерних доменов не применялся. роцесс конфигурирования ретрансляторов и корневых ссылок также оказался неэффективным, потому что не является достаточно отказоустойчивым. апример, если кому-то из Contoso.com требовалось найти ресурс в домене Fabrikam.com, клиент должен был запрашивать DNS-сервер Contoso. оскольку сервер не был
полномочным сервером для домена Fabrikam, он должен был разрешить имя, используя корневую ссылку или ретранслятор. сли DNS-сервер Contoso был сконфигурирован с ретранслятором на DNS-сервер в домене Fabrikam, имя могло быть разрешено. днако эта запись ретранслятора не могла использоваться для разрешения компьютерных имен в домене TailspinToys.com или во внутренней сети. спользование системы DNS Windows 2000 предложило несколько путей решения этой проблемы (см. ниже), но ни один из них не был достаточно удовлетворительным. • оздание дополнительной зоны на каждом сервере DNS для каждого из других доменов привело бы к возрастанию трафика зонной передачи. • оздание дополнительной зоны для каждого домена компании на серверах DNS в корневом домене и конфигурирование всех DNS-серве-ров домена так, чтобы они направляли запросы к серверам DNS корневого домена, создало бы существенную нагрузку на серверах DNS корневого домена. роме того, поскольку все серверы DNS корневого домена были расположены в одном центре данных, разрешение имен привело бы к возрастанию сетевого трафика из других офисов. и одно из этих решений не идеально. перационная система Windows Server 2003 предлагает три варианта решения. них используются условная переадресация, сокращенные зоны (stub zones) и разделы приложений каталога.
овершенствование DNS DNS, Windows Server 2003
,
DNS.
( DNS
.
.
, )
, Windows Server 2003.
(conditional forwarding) Windows Server 2003 .
,
Windows 2000.
,
-
, , .
,
. : DNS-cep.
DNS, ,
,
,
. . . , ,
.
.
,
DNS
. Windows Server 2003 , .
DNS DNS DNS
,
, Contoso.com Contoso.com. DNS-
. , , Fabrikam.com, DNS.
Fabrikam.com, ,
,
Fabrikam.com, ,
DNS, .
DNSDNS Contoso.com, -
. Contoso.com
, .
. ,
DNS.
,
DNS-
,
. Properties (
DNS (
.
)
. 3-8). . DNS
DNS-
,
DNS-
. ,
Forwarders ( ,
DNSDNS, All Other DNS Domains (
),
. ,
, DNS, DNS). DNS.
-
,
, Fabrikam.com
Europe.Fabrikam.com, Webl.Europe.Fabrikam.com, DNSDNSEurope.Fabrikam.com. (stub zones) Windows
DNS
Server
2003.
.
. IP-
.
. 3-8.
,
,
.
, SOA, NS .
( )
,
.
DNS-
,
.
. DNS, . .
(
.
. 3-9). ,
SAmerica.Contoso.com DNS .
.
,
NAmerica.Contoso.com IPNAmerica. Contoso.com
,
. DNS Contoso.com , DNSNAmerica. Contoso.com . IPSAmerica.Contoso.com NAmerica. Contoso.com. NAmerica. Contoso.com DNS SAmerica. Contoso.com IP, . , DNSNAmerica. Contoso.com DNS . , SAmerica.Contoso.com. , , SAmerica. Contoso.com. . , . , . DNS . DNS , DNS, .
. ,
IP. ,
, , NAmerica.Contoso.com . 3-9.
SAmerica.Contoso.com DNS
.
, .
Contoso.com.
Zones ( New Zone (
) ).
Contoso.com, NAmerica.Contoso.com DNS Contoso.com, . , . DNS Contoso.com , , . , New Zone Wizard ( ) DNS. Forward Lookup Reverse Lookup Zones ( )) ( . . 3-10).
. 3-10.
DNS,
,
. Active Directory Windows Server 2003 DNS . DNS, , Active Directory . DomainDnsZones ForestDnsZones. ( Active Directory, ADSI Edit Ldp.exe; ADSI Edit 3-11.) . DomainDnsZones DNS, . ForestDnsZones DNS, . DNS , . . . DNS ( Zone Properties ( ) DNS. DNS. • All DNS Servers In The Active Directory Forest domainname (Ha Active Directory). ForestDnsZones, DNS . _msdcs Active Directory. DNS
. 3-11.
DNS
.
. 3-12) DNS
ADSI Edit
All DNS Servers In The Active Directory Domain domainname (Ha DNS Active Directory). DomamDnsZones, DNS, . , Active Directory, . All Domain Controllers In The Active Directory Domain domainname ( Active Directory).
,
. , ,
DomamDnsZones , DNS. • All Domain Controllers Specified In The Scope Of The Following Application Directory Partition ( ). , . DNS , . . DNS , DNS . DNS , , . DNS DNSCMD. DNS DNS Create Default Application Directory Partitions ( ). DNSCMD dnscmd DN S servername/CreateBuiltin-DirectoryPartitions /forest. ForestDnsZones. DomainDnsZones, «/domain» . Active Directory, Enterprise Admins ( ). . 3-12. DNS
. , DNS, DomainDnsZones DNS. Active Directory ForestDnsZones.
, _msdcs
,
,
.
DNS
Windows Server 2003.
Windows Server 2003.
DNS. , DNS
, Active Directory . Windows Server 2003.
SRV ,
DNS Active Directory. , DNS, DNS
4.
Active Directory ,
Active Directory Microsoft Windows Server 2003, . . (WAN). ,
-
. ,
, .
,
.
,
, Directory
.
Active
, . ,
Active Directory. ,
, .
Active Directory 2
,
Active Directory
.
.
,
,
. ,
. ,
,
.
,
Active Directory. ,
Windows NT, Active Directory Windows NT
Microsoft .
(PDC — Primary Domain Controller)
, , (BDC — Backup Domain Controllers). , ( , , , , , PDC
. . )
PDC, .
PDC ,
PDC. .
,
, BDC-
PDC.
Active , . . PDC
Directory , .
,
. , ,
.
, 2
. ,
Active Directory
. ,
.Э
, . , ,
Active Directory, .
,
,
,
. ,
,
, . .
. , , .
(store and forward).
,
, .
, ,
.
, WAN-
,
.
, .
,
, ,
.
Active Directory Windows Server 2003 Active Directory Windows Server 2003, Microsoft Windows 2000, ,
•
,
, . Windows 2000
. .
. . , , .
Active Directory Windows Server 2003 , , . 5000 . Windows 2000 ,
,
•
, 5000 . 5000
.
, Active Directory Windows Server 2003 , ,
. .
, Windows Server 2003.
. (interim) Windows Server 2003 Windows Server 2003. , Windows NT.
, ,
•
Directory Windows Server 2003. . Directory Windows Server 2003
Windows Server 2003 Windows Server 2003 . . 7. . Active Directory Windows 2000, Active Active
.
•
. , Active Directory Windows Server 2003 . , ,
.
, ,
-
(bridgehead server) ,
. ,
.
. , (site link object)
ADSI Edit -
Options ( (connection object).
)
-
,
Options (
)
,
•
;
. Windows 2000
. 100 . (Knowledge Consistency Checker —
, ), .
Active Directory Windows Server 2003
.
Active Directory
,
.
, ,
.
, . . Microsoft Exchange Server 5.5
.
,
. Exchange Server 5.5.
Active Directory
епликация внутри сайта ,
. .
, .
.
•
,
Active
Directory. , .
15
, 3 ,
. , . Windows 2000
15 Windows Server 2003 ( Resource Kits
Windows Server 2003 ADSI Edit. . ,
,
•
).
. .
.
•
,
-
-
. ,
.
-
(RPC). ,
.
,
.
• . ; .
•
Services (
. Active Directory),
Active Directory Sites And ( ,
) Resource Kits
Partition (
( ) Windows Server 2003.
), .•
епликация между сайтами
,
-
,
. .
•
, ,
,
. ,
.
,
.
,
, .
,
,
,
.
•
10 - 15 , -
32
.
,
.
• . .
•
,
, (SMTP).
(IP)
,
, ,
.
•
, )
, -
-
—
-
-
. ( .
.
•
, . Active Directory
. ,
,
. ,
,
,—
Active Directory Windows Server 2003 , .
5.
, , (replication
latency).
, .
,
,
, 15 .
15 , .
15-
,
,
,
. , 45 . . .
, ,
,
,
-
-
-
. ,
,
,
. 3 ,
3 -
. .
, . . (
15
, ). .
,
, 45
.
WAN-
,
,
.
, (urgent replication),
, , Active Directory
. . .
,
, , .
.
• • •
. . (RID) .
•
(LSA - Local Security Authority), .
, .
. . , PDC.
-
.
,
, PDC-
RPC-
PDC. ,
, ,
,
-
PDC.
,
,
Active Directory
.
Active Directory.
, ,
,
.
роверка целостности сведений (Knowledge Consistency Checker) (Knowledge Consistency Checker) — , . Active Directory
.
, ,
,
,
. ,
,
.
, . ,
, . 15
. Active
Directory Sites And Services (
Active Directory).
,
,
(
NTDS) Check Replication Topology (
,
NTDS Settings ),
All Tasks ( ).
бъекты связи (connection object), Active Directory. , , .
.
, ,
. pull (« -
»)
,
pull-
-
,
, .
. . push («
Replication Monitor ( ») pull-
) .
. ( «
, »
.) ,
,
. .
,
,
, ,
,
, , .
,
. : ,
,
, -
. ,
-
.
,
, ,
. ,
15
4-1.)
.(
( (GUID).
, ) .
. 4-1.
, .
, .
. ,
. ,
.
, ,
.
опология репликации внутри сайта Active Directory.
(spanning tree),
.
,
,
,
.
,
, . ,
. .
spanning tree , .
. Active Directory . Active Directory
, . ,
, .
, Active Directory
. Active
Directory, KCC
. .
4-2 .
. 4-2.
(
.
. 4-2), .
,
.
-
, .
. .
, (hop). , .
,
4-3
,
.
,
,
.
.
, . ,
,
. 4-3.
,
.
, (
.
. 4-4)
4-4. ,
. 4-1. . 4-1.
, ,
Contoso.com
. DCl.Contoso.com, DC3.Contoso.com, DC4.Contoso.com.
DC2.Contoso.com,
DC5.Fabrikam.com, DC6.Fabrikam.com. Fabrikam.com (GC) DCl.Contoso.com, DC4.Contoso.com, DC5.Fabrikam.com. DC2.Contoso.com, DC6. Fabrikam.com.1. AppPartitionl .
. 4-4.
,
.
DNS (ForestDnsZones , . 3
. ,
DomainDnsZones) 4-4 , . GC.
4-4 GC (
. Replication Monitor ).
-
, ) ,
Windows Server 2003. Suptools.msi
,
-
(
—
Windows Server 2003. replmon.
, 4-5 .
Support\Tools Run
. 4-5.
-
,
,
. , .
,
,
. 4-5 DCl.Contoso.com
DC4.Fabrikam.com. . ,
. Topologies ( Objects Only ( Properties ( )
).
),
Show Replication — Connection
), ). .
,
View (
Inbound Replication Connections ( , 4-6, ( Fabrikam.com), . , , .
,
. 4-6.
,
епликация глобального каталога , .
GC GC
.
,
.
GC isMemberOfPartialAttributesSet , GC GC4-7 ;
, true (
, ).
,
GC. .
GC, .
DCl.Contoso.com
. GCContoso.com, Contoso.com Fabrikam.com DCl.Contoso.com
GC.
GC-
Fabrikam.com Fabrikam.com
DC2.Fabrikam.com GC-
, DC2.Fabrikam.com. ,
DCl.Contoso.com. DCl.Contoso.com. 4-8 GC . , GCDCl.Contoso.com
. 4-7.
DC2.Contoso.com, DC6.NWTraders.com. DCl.Contoso.com.
GC-
DC4.Fabrikam.com
.
.
,
GC
GC
.
опология межсайтовой репликации , .
,
,
,
.
, . , ,
. ,
, .
,
, .
,
,
,
.
, ,
.
(ISTG - InterSite Topology Generator) . ISTG, , . 4-8.
GC-
.
ISTG . (bridgehead server)
-
• .
-
-
. , .
, .
-
•
-
.
,
. ISTG .
ISTG .
,
, , , ISTG . ISTG -
.
-
. 4-9
, ,
. .
,
,
GC-
. ,
,
GC,
-
.
4-9, ,
DCl.Contoso.com -
,
-
. Contoso.com. Fabrikam.com. DC6.Fabrikam.com
-
, GC-
.
GC-
. , . . Active Directory. ,
. Э
.
Active Directory.
. ,
, ,
. 4-9.
,
.
ипы обновлений Active Directory, .
-
(originating update).
, .
,
, . ,
,
(replicated update). , , ,
.
, Active Directory, Active Directory Active Directory Active Directory
• • •
. : ; ; . ,
;
•
Active Directory
.
, . Active Directory
,
. ,
,
.
епликация изменений , ,
. 15
, .
, ,
. , . .
Active Directory
, .
, ,
,
.
Active Directory update sequence number), vectors)
(USN (up-to-dateness .
(high-watermark value), (change stamps).
я
, .
(USN — update sequence number) .
, USN 5555, USN 5556.
,
, USN
. (
,
, USN. USN
), ,
USN uSNChanged USN USN, , , 5556, USN .
-
.
USN
.
-
, .
, USN
. .
.
, uSNChanged
USN, 5556.
, 5556.
, USN 5557. USN uSNChanged USN
uSNChanged USN . , USN
. ,
. ,
USN
USN. USN
, , . ,
USN USN USN
.
uSNChanged , , .
(high-watermark values)
, . .
-
uSNChanged, . uSNChanged
, . . . -
-
-
.
,
-
,
uSNChanged. . . (up-to-dateness vectors)
, .
-
, ,
. DC1,
USN, DC2, DC1
, GUID , ,
5556.
USN
. . , 5556.
DC1,
, -
.
-
-
DC2
,
. -
, ,
.
, ,
DC1,
DC2,
DC3
DC2 , USN 5556.
,
,
DC1, DC2
15 DC3
,
DC3.
, .
, . DC3,
DC3 .
DC3, DC2,
DC2
DC1
, USN.
,
, DC2
DC3
.
,
, .
,
, .
,
, .
,
, .
,
,
.
USN USN (update sequence number) ,
Windows Server 2003. , USN
USN (time stamp) Repadmin. (
« /showmeta object distinguished name ( uSNCreated uSNChanged ,
Advanced ( USN
).
Repadmin .)
»
repadmin
) ADSI Edit Ldp.exe, ),
.
. , Replication Metadata ( ( .
. 4-10).
, Show Attribute Meta-Data For Active Directory Object ( Active Directory). (credentials) Active Directory, . USN. USN Active Directory Users And Computers, Advanced Features ( ) View ( ), Object ( ) Properties ( ) . . , , . , , , , .
-
. 4-10.
Replication Monitor (
)
, (change stamp).
,— ,
, .
,
. ,
,
. .
•
. , .
, .
«
1, ,
»
1. ,
.
•
,
. . , (Originating server).
•
, . GUID
,
. . ,
. ,
,
. .
1.
.
. 3,
-
4,
4.
2.
,
. .
3.
GXJID GUID
,
. , ,
.
,
GUID.
GUID
, a GUID
че
.
ы . екоторые сетевые администраторы, похоже, очень озабочены возможностью возникновения конфликтов репликации и потенциальной потерей или перезаписью данных. большинстве компаний вероятность их возникновения невелика. о-первых, конфликты репликации касаются отдельных атрибутов. ( сли номер телефона пользователя изменяется на одном контроллере домена в то же самое время, когда адрес пользователя изменяется на другом контроллере домена, никакой конфликт не возникает.) о-вторых, большинство компаний имеют централизованный отдел, где делаются все изменения к учетным записям пользователя, так что вероятность того, что два человека сделают различные изменения к одному и тому же атрибуту одновременно, очень мала. сли администрирование учетных записей пользователя делегировано на уровень отдела, то каждый отдел делает изменения только к учетным записям пользователя своего отдела. аким образом, в большинстве компаний, использующих структурированный способ работы с объектами Active Directory, конфликты репликации происходят очень редко. Active Directory , , . ,
.
•
, . , (OU) Accounting ( OU Accounting. ,
). , Active Directory
LostAndFound. (relative
• distinguished name) BDiaz ,
OU Accounting,
.
,
,
OU ,
OU. ,
,
. GUID
GUID, GUID, BDiaz#CNF:userGUID,
,
(#)
,
.
,
.
.
Active Directory , (tombstone). true ( ), , GUID, SID, USN .
isDeleted
-
, . , . , .
,
,
,
. -
-
,
(tombstone lifetime). 60 ,
, -
. (garbage collection).
, -
12
. ,
1
,
,
,
12
,
. Active Directory Windows Server 2003 Active Directory. (lingering object) — ,
. ADSI Edit Ldp.exe. Э CN=Directory Service,CN=Windows NT,CN=Services,CN = Configuration, DC=ForestRootDomain. garbageCollPeriod tombstoneLifetime . . Repadmin. С
.
Active Directory , WAN-
,
. , .
. ,
-
, .
, 5
. Active Directory, . 2,
Active Directory —
, .
Directory .
,
Active ,
оздание дополнительных сайтов Active Directory,
Name (
Default-First-Site, .
). ,
Sites And Services ( Name (
. Active Directory Active Directory). Sites ( ),
, New Site (
)
).
Link
, .
IP
Active Directory. Active Directory Sites And Services , ,
Subnets ( . GCServers (
) ,
.
)
Move (
).
,
. ,
IP
,
IP-
.
,
.
вязи сайта Active Directory, Links). Active Directory DEFAULTIPSITELINK. , . WAN, ,
,
(Site , . . .
-
, . ISTG.
ISTG.
, ISTG ,
Directory
Active .
.
•
(Cost) -
, . ,
.
, . .
, .
•
•
-
. (Replication schedule) — . 24 . , (Replication interval) -
, . , -
. 180 22:00 3
•
. . 5:00
,
-
,
. (Replication transports). RPC IP, SMTP.
«
»
. .
,
,
.
,
,
4-11. Active Directory Windows Server 2003 . 4-11, Sitel Site3 Site5. -
(transitive) Site4, a Site2 , Sitel
Site2 Site3
Site5.
, .
, .
4-11,
, Site5: Site2 - 300 (100
Sitel
— Site2, + 200),
— Site4. Site4 — 700 (500 + 200). Site 2,
, .
,
. ,
(
Site1
Site3
24:00
4:00
)
60 (
. 4-11.
Site2-Site3). .
-
.
Site2-Site3
22:00
, Sitel-Site2
, 1:00,
2:00 Sitel
.
Sitel
Site2,
Site3. ,
Site2 2:00,
6:00, Site3 Site2 , Site3 22:00.
осты связей сайта (site link bridges). , .
,
-
,
, . .
( -
,
, ). ,
,
,
, . .
5
.
, .
,
.
,
,
; ,
,
, , Site2
Site3 Site3
. , Site1, Site2, Site4 , Site5.
-
, Site5. Sitel
,
.
Site2,
, General ( ) Inter-Site Transports ( Active Directory Sites And Services. )
. Bridge All Site Links ( IP-Properties ( IP). ) ,
IP , ,
.
ранспортные протоколы репликации Active Directory Windows Server 2003 . • RPC IP ..
. RPCmapping). RPCendpoint mapper port) (IP 135). С .
. RPC no IP.
, (dynamic port RPC (RPC ,
. ,
,
.
, DWORD : HKEY_LO-CAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ Parameters\TCP/IP Port. • RPC no IP . RPC, , , . . RPC IP Active Directory Sites And Services, , . RPC no IP RPC, a RPC no IP IP. • SMTP . SMTP , . SMTP , . . . SMTP . , SMTP , . SMTP , GC. , SMTP , SMTP (IIS) , SMTP . , Microsoft Certificate Authority (MCA) ( ). SMTP, .
онфигурирование серверов-плацдармов , (ISTG
.
-
Inter-Site
Topology
. Generator)
-
,
, Replication Monitor ).
(
, ,
Show Bridgehead Servers ( : ,
-
). ,
-
. Repadmin.
repadmin
/bridgeheads. ,
-
-
. ,
Active Directory Sites And Services, Properties ( )( . . (preferred)
. , 4-12).
-
SMTP -
IP. ,
-
,
.
,
,
-
, .
, Contoso.com, GC ,
Fabrikam.com, , , .
,
ISTG
, -
. 4-12.
-
.
-
,
ISTG
. ISTG
-
, , , -
-
ISTG -
,
, .
.
. .
-
-
, ISTG
,
-
.
-
.
,
,
.
-
, ,
.
, , — Replication Monitor ( Suptools.msi Support\Tools Replication Monitor,
Server 2003.
). Windows replmon.
.
Edit
, .
, Active Directory.
,
, ;
; . ,
. repadmin. Replication Monitor,
,
- Repadmin. ,
Suptools.msi. Repadmin . ,
Repadmin, Support Tasks ( Support Tools (
Help And Support Center ( ) Windows).
Tools (
),
Repadmin . . Replication Monitor ). Windows
, ,
,
. Directory Service (
-Event Viewer ( ) — . ,
, ,
. Help And Support Center.
,
). ,
.
(
)
Performance ,
, .
, NTDS Performance. ,
Active Directory. С . , DNS
,
Active Directory -
,
DNS. .
Active Directory Windows Server 2003 ,
. , .
:
,
Active Directory , .
,
асть II. еализация службы Active Directory Windows Server 2003 I , Active Directory Microsoft Windows Server 2003. II Active Directory. Active Directory . , , (OU) , . 5 . Active Directory, . 6 , Directory. , Active Directory Windows Server 2003, Microsoft Windows NT 4. Active Directory Windows Server 2003 Windows NT,
5. Directory
Active 7.
Active Active Directory Microsoft Windows Server 2003 Active Directory
. ,
.
Active Directory
. ,
. ,
,
Active Directory Windows Server 2003. , , ,
, . ,
. —
. .
,
(OU)
,
. Active
.
Windows 2000. Windows Server 2003 2000, Active Directory , Active Directory Microsoft Windows NT 4
, . Active Directory
Directory Windows Server 2003 Active Directory Microsoft Windows . Active Directory Windows 2000, .
,, . , .
,
, :
,
. че ы . Active Directory огда вы проектируете Active Directory для корпорации, важно вовлечь управление компании в этот процесс. ользователи-бизнесмены являются основными потребителями услуг, которые обеспечивает инфраструктура информационных технологий (IT), поэтому необходимо, чтобы ваш проект удовлетворял их требованиям и имел поддержку со стороны руководства. тепень участия деловых подразделений в проектировании сильно зависит от компаний. рактически в каждой организации она выражается, по крайней мере, в одобрении высокоуровневых задач проекта. ти задачи касаются вопросов доступности информации, безопасности, простоты управления и практичности. енеджеры обычно включаются в принятие решений, которые не могут быть изменены сразу после развертывания. реди этих решений — вопрос о том, сколько лесов и доменов требуется сети и сколько должно быть развернуто доменных пространств имен.
еса и проект Active Directory Active Directory
,
. .
. Active Directory,
,
. ,
•
. (GC).
.
GC ,
.
•
. . , Directory,
Active
, .
•
.
. . Microsoft Exchange Server 2000. Exchange Server 2000. Exchange Server 2000
,
.
, .
(GAL - Global Address List) Exchange Server 2000
GC. . ,
. ,
. Active Directory ,
, , .
•
. .
. , .
,
,
.
,
,
, , ,
, .
,
. .
•
, . , Schema Admins
. ,
(
,— ).
, Enterprise Admins (
, Enterprise Admins ( )
). Administrators . .
,
Windows NT 4, . .
•
, .
•
. .
, ,
, .
, . ,
, .
дин или несколько лесов ,
,
,-
. ,
. -
,
.
.
,
. .
GC, , . . ,
Active Directory ,
,
,
. ,
.
•
. , ,
.
,
.
•
. ,
.
.
•
. ,
, ,
.
• ,
. .
•
. , ,
. ,
, . че ы . емногие компании имеют технические причины для развертывания более одного леса. ес может содержать несколько доменов, в каждом из которых имеются сотни тысяч объектов. омены могут быть развернуты с несколькими пространствами имен и с различным администрированием для каждого домена. днако как только вы представите сотрудникам, ответственным за принятие решения в вашей организации, список требований для леса, например, централизованное управление, общая схема или доверенные администраторы, вы наверняка встретите сопротивление. динственная серьезная причина, по которой компании развертывают несколько лесов, — это политика компании или неспособность различных отделов и подразделений выработать способ обращения к централизованным компонентам управления лесом. некоторых случаях компания не может договориться о модификации леса или схемы. других случаях тот факт, что администратор одного домена может влиять на все другие домены леса, означает, что один лес неприемлем. то справедливо, когда множество прежде независимых компаний должны теперь работать вместе из-за поглощения или слияния компаний. тдельные леса могли бы быть хорошим выходом для некоторых из этих компаний, но вы должны предупреждать ответственных за принятие решений о том, что они потеряют, если будут настаивать на развертывании нескольких лесов. спользование нескольких лесов означает, что каждый получает полную автономию, а значит, будет гораздо труднее совместно пользоваться информацией между деловыми подразделениями. . .
•
.
, ,
.
, .
•
. GC-
. ,
•
-
,
GC. ,
, .
.
-
, .
. ля некоторых компаний выбор между развертыванием одного или нескольких лесов сведется к тому, нужна ли компании административная автономия или административная изоляция между подразделениями. Active Directory есть много типов административной деятельности, включая конфигурирование служб каталога (леса, размещения контроллеров домена, доменной системы имен) и управление данными в службе каталога (объектами пользователей или групп, групповыми политиками и т.д.) дминистративная автономия означает, что вы имеете полный административный контроль над некоторыми компонентами леса на уровне леса, домена или OU. днако это не подразумевает эксклюзивного управления. апример, вы имеете возможность полностью управлять своим доменом, но группа Enterprise Admins ( дминистраторы предприятия) также имеет административные разрешения на управление вашим доменом. дминистративная изоляция, с другой стороны, означает, что вы имеете исключительный контроль над компонентом каталога. сли у вас административная изоляция, то никто не сможет контролировать вашу часть леса, изменять конфигурацию службы каталога или данные.
лужба Active Directory обеспечивает много способов достичь административной автономии. дминистраторы домена могут делать в нем все, что захотят. дминистраторам OU можно давать полные права создавать и управлять любыми типами объектов в OU. дин лес в Active Directory проектируется для делегирования администрирования и автономии. днако если вам требуется административная изоляция, единственный способ достичь этого состоит в создании отдельных лесов. ричина этого частично связана с тем, как разработана Active Directory. руппа Enterprise Admins автоматически добавляется к местной группе Administrators каждого домена. руппа Domain Admins ( дминистраторы домена) имеет полный административный контроль над каждым объектом в домене и автоматически добавляется к группе Administrators на каждом компьютере в домене. то время как заданная по умолчанию конфигурация может быть модифицирована, а группы могут быть удалены из административных групп низшего уровня, администраторы более высокого уровня всегда могут восстанавливать управление объектами низшего уровня. то означает, что никакая часть леса не является административно изолированной. ругая причина того, что отдельный лес может быть необходим для административной изоляции, состоит в возможности злонамеренных действий со стороны администраторов в домене. юбой человек с административным доступом к контроллеру домена может нарушить административную изоляцию любого другого раздела в лесу. дминистратор может устанавливать программное обеспечение на контроллере домена, которое изменяет информацию каталога для всех доменов в лесу. дминистратор может изменять сёой собственный идентификатор защиты (SID) так, чтобы казалось, что он является членом группы Enterprise Admins, а затем использовать этот доступ, чтобы сделать изменения, касающиеся всего леса. налогично, если пользователь может выключить и перезапустить контроллер домена в режиме Directory Services Restore ( осстановление службы каталога), то он сможет изменить информацию в Active Directory так, что это затронет весь лес. се контроллеры домена и разделы леса тесно связаны, и любое изменение, сделанное на одном контроллере домена, будет реплицироваться на остальные контроллеры домена. ет никакой проверки законности реплицируемой информации, есть только проверка при создании изменений к информации каталога. оэтому если злонамеренный администратор сумеет сделать изменение к информации каталога, то все другие контроллеры домена получат реплицируемое изменение без вопросов. о этим причинам вы должны создать отдельные леса, если требуется административная изоляция. некоторых случаях вам может потребоваться полная гарантия изоляции раздела каталога. этом случае вы должны пойти на увеличение административной работы и потерю простоты в сотрудничестве, которые влечет за собой развертывание нескольких лесов. ногие компании, однако, требуют административной автономии наряду с разумной гарантией того, что администраторы из другого раздела леса не будут действовать злонамеренно. та разумная гарантия может быть достигнута путем выполнения следующих действий. • омещение только администраторов с высоким уровнем доверия в группы, которые имеют административный контроль над контроллерами домена. ти группы включают группу Domain Admins ( дминистраторы домена), а также локальные группы Administrators ( дминистраторы), Server Operators ( ператоры сервера) и Backup Operators ( ператоры резервного копирования). дминистративные задачи, которые не требуют доступа к контроллерам домена, должны быть делегированы другим группам. • изическая защита контроллеров домена путем разрешения доступа к серверам только администраторам, имеющим высокий уровень доверия. • удит всех действий, выполняемых администраторами высокого уровня. дминистраторы высокого уровня должны входить в систему, используя административную учетную запись, только при необходимости. ни должны иметь обычные учетные записи пользователя для ежедневной работы.
,
,
. . Schema Admins ( ) Domain Admins ( , . , Schema Admins
(
,
, ), Enterprise Admins ) , , . ,
Schema Admins ,
. . , . ,
,
,
, ,
. , . .
. , . ,
, .
олитика управления изменениями леса .
, .
: (
,
,
). , .
,
, . , . , . ,
. ,
Active Directory. , Active Directory
. , .
, .
, , ,
.
.
омены и проект Active Directory .
•
Active Directory. . ,
Sysvol (
. GC)
,
, .
•
. .
, , .
•
. .
,
, Kerberos,
.
пределение количества доменов , . ,
. .
,
Active Directory Windows Server 2003 Windows NT.
Windows NT , NT,
Active Directory. Windows Windows Server 2003.
, Windows NT. че ы . Active Directory ажным требованием при проектировании Active Directory является баланс между оптимальной структурой сети и тем, что уже развернуто к настоящему моменту. сякий раз, когда вы готовитесь к созданию проекта Active Directory, необходимо рассмотреть уже имеющуюся инфраструктуру и последствия перехода к Active Directory. сли ваша текущая служба каталога состоит из доменов Windows NT 4, вы должны собрать информацию об имеющихся доменах и рассмотреть последствия обновления их до Active Directory Windows Server 2003. екущая доменная структура может не быть идеальной для ее обновления до Active Directory. днако модернизировать ее значительно легче и дешевле, чем создать идеальную структуру Active Directory, а затем переместить все объекты домена в новые домены. озможно, что вам придется работать не с идеальной структурой Active Directory, потому что вы будете модернизировать текущие домены. ожет выясниться, что текущая структура настолько далека от идеальной, что дополнительная работа и стоимость по реструктурированию всех доменов будет оправдана. ероятно также, что текущая структура окажется почти приемлемой, но вы захотите сделать в ней некоторые изменения. этом случае вы можете модернизировать один или несколько доменов и затем присоединить другие домены к модернизированным. отовясь к проектированию своей службы Active Directory, вы сначала создадите идеальный проект Active Directory, а затем еще один, основанный на оптимальном
сценарии обновления текущей среды. чень вероятно, что ваша окончательная модель окажется где-нибудь посередине. заимодействие между идеальным и реальным проектом иллюстрирует другой важный аспект проектирования Active Directory: проектирование почти всегда представляет собой итерационный процесс. ы можете начать проектирование, имея в голове одну модель, и по мере сбора дополнительной информации, вам, возможно, потребуется ее изменить. огда вы начнете тестировать реализацию или сценарии перехода, вероятно, проект Active Directory опять изменится. днако важно, чтобы некоторые части вашего проекта приняли окончательные формы прежде, чем вы начнете развертывание. еализацию сильно затрагивает решение о количестве лесов и доменов, а также проектирование доменного пространства имен. ти решения трудно изменить после того, как развертывание началось. ругие решения типа финального проекта OU и проекта сайтов легко изменить после развертывания. Active Directory, . , , Active Directory . Windows NT , . Active Directory OU , . , , OU . . , . , . — . Sysvol . , . .
, . , . .
•
.
, ,
. ( ).
•
, . , .
•
, (SMTP),
. ,
SMTP.
•
, Kerberos
•
.
,
. .• , . . .
.
, .
,
, .
,
.
роектирование корневого домена леса ,
Active Directory
, —
(
).
(dedicated root domain) -
,
. ,
,
. 5-1.
,
, .
Directory. Schema Admins) , , ,
-
Active Enterprise Admins ).
( ( , , .
,
,
,
. , , . ,
. ,
. . 5-1.
.
. (generic)
, ,
.
,
.
,
,
,
. ,
. , .
,
. , Restricted Group ( )
, Domain Security Policy ( DNS . , DNS .
.
,
) . ,
,
роектирование иерархии доменов , ,
DNS .
.
,
Windows Server 2003
Windows NT,
. Windows NT, , ,
—
. . , .
5-2
,
. Active Directory,
. .
Active Directory
,
Active Directory.
, ,
Active Directory. Server 2000 5-3 4.
. , Exchange Server 5.5. Active Directory. Exchange Server 5.5, , Exchange ,
Exchange , . Windows NT
о м е н ы у ч е т н ы х :
записей □ омены ресурсов ^=2. ранзитивные доверительные отношения
. 5-2. Windows NT
,
.
,
. ,
.
,
,
, , ,
.
,
,
,
. ,
,
, ,
, ,
.
еревья доменов и доверительные отношения
. , , . . 5-3.
Windows NT 4
,
Active Directory Windows Server 2003
. .
. , . ,
,
,
. . , GC
.
DNS (conditional forwarders) Windows Server 2003 . , , , (shortcut trusts) . Active Directory . , ,
-
-
DNS. (stub zones) , , .
-• , .
,
. ,
,
, .
, 5-4. Canada.NAmerica.Contoso.com Contoso.com, . NAmerica, Fabrikam , , Asia. . , Canada Asia, Asia . .
, Asia.Fab-rikam.com Contoso,
,
.
, ,
, .
. 5-4.
зменение иерархии доменов , . Windows Server 2003 ,
Windows Server 2003. , .
, ,
.
,
, .
Active Directory (ADMT - Active Directory Migration Tool v.2) . ADMT /I386/ADMT Windows Server 2003.
-
азначение владельцев домена ,
Active Directory,
. ,
. ,
. .
,
—
, . . .
•
,
. Kerberos.
Group Policy (
• •
)
OU-
. OU. OU-
. OU
OU.
•
. (
. .),
, OU.
•
,
. , . ,
.
DNS , DNS
.
Windows Server 2003 DNS, DNS. Active Directory
Active Directory ,
, .
DNS. DNS, ,
, Windows Server 2003
DNSDNS.
сследование существующей инфраструктуры DNS DNS DNS. DNSServer 2003. Active Directory
DNS DNS. DNS,
Active Directory ,
Active Directory DNS
DNS,
Windows
,
.
DNS,
.
•
DNS-
,
.
,
•
,
.
, . .net
.com, .org.
.
•
DNS. DNS, Windows, BIND - Berkeley Internet Name Domain , DNS
DNSVitalQIP).
(
, .
роектирование пространства имен DNS, Active Directory.
Lucent
DNS , ,
,
DNS
,
.
, .
DNS DNS5-5 .
,
Contoso
. .
,
Contoso.com
. 5-5.
,
DNS
.
, , .
,
,
DNS DNS-
,
, DNS - DDNS). , , , . DNS-
( , . SMTP, Web, . , .
-
. SMTP
(UPN) .
, ,
(
). ,
DNS-
. .
DNS
. DNS, DNS . .
, -
, ,
-
, ,
.
. . , Contoso.net
Contoso.com ADContoso.com
(
.
. 5-6).
. ,
, . , , Contoso.net, ADContoso.com . AD.Contoso.com .
. 5-6.
Contoso.com AD.Contoso.com — DNS,
,
,
,
, . DNS
,
. , DNS ,
. .
,
,
, .
,
DNS, DNS. Windows NT), Active Directory,
DNS ( , .
DNS , DNS
,
DNS ,
. , (
.
. 5-7).
.
, DNS
. 5-7.
DNS
DNS
че ы . опрос использования внутреннего пространства имен, отличного от внешнего, может вызвать дискуссии в компании. некоторых случаях лучше использовать различные пространства имен, но владельцы компании могут оказывать сильное сопротивление использованию чего-либо, отличного от пространства имен интернета. асто причина для этого — торговая марка; некоторые компании потратили годы и миллионы долларов, создавая торговую марку, которую клиенты хорошо знают, вебсайты компании и адреса SMTP для всех пользователей отражают это пространство имен. екоторые компании имеют признанные обществом идентификаторы при наличии несколько деловых подразделений в пределах компании, каждое из которых обладает собственной торговой маркой. большинстве случаев деловые пользователи не хотят показывать внешнему миру имя, отличное от их распознаваемого имени компании. орошая новость состоит в том, что вы можете использовать различные внутреннее и внешнее пространства имен, а внешне поддерживать только одно пространство имен. апример, Contoso мог бы использовать Contoso.net как внутреннее пространство имен и Contoso.com как публичное пространство имен. нутреннее пространство имен может быть полностью скрыто от всех, кроме сетевых администраторов. дреса SMTP для пользователей могут быть [email protected], а веб-серверы могут использовать веб-индекс Contoso.com. сли нужно, то UPN для пользователей может быть сконфигурирован как [email protected], несмотря на использование другого внутреннего пространства имен.
5-7
,
DNS (authoritative) NAmerica.Contoso.com Europe.Contoso.com, Fabrikam.com. DNSFabrikam.com
Contoso.com
. DNS-
Contoso.com. , ,
, DNS
DNS. . Active Directory,
DNS Contoso.net DNS.
, Contoso BIND — Active Directory SRV-
DNS-
.
,
DNS (
Contoso.net ,
DNS-
,
).
, Windows Server 2003. . DNS
DNS-
. ,
DNS .
.
DNS . ,
DNS-
. Э
DNS-
. , . .
Active Directory. AD.Contoso.net
, DNS-
DNS , Contoso DNS ( . . 5-8).
DNSContoso.net Active Directory,
DNSNAmerica.AD. Contoso.net DNS, Contoso.net,
Europe.AD.Contoso.net.
DNSActive Directory,
DNS-
AD.Contoso.net DNS-
.
. DNS
Active Directory , Contoso DNSContoso.net AD.Contoso.net. DNS, DNS-
. AD.Contoso.net
Active Directory (
.
. 5-9).
AD.Contoso.net Contoso.net.
-
DNS,
,
,
DNS . Fabrikam.net
,
5-10
,
,
,
.
Contoso.net Active Directory,
, NWTraders.net.
DNSDNS
.
. 5-8.
DNS
. 5-9.
DNS
DNS 5-10 AD.Contoso.net NAmerica.AD.Contoso.net NWTraders.net, Active Directory.
Europe.AD.Contoso.net
Active Directory. Active Directory AD.Fabrikam.net
. 5-10.
DNS
DNS DNS. DNS
UNIX DNS
BIND, Windows NT WindowsDirectory Server 2003
.
DNS
UNIX-
DNS-
.
NetBIOS Windows (WINS),
DNS,
DNS. Windows 2000 Windows Server 2003. DNS ,
3
,
Active Windows .
Active Directory DNS. DNS DNS DNS.
, Windows Server 2003.
Active Directory ,
BIND
DNS.
,
Microsoft
DNSActive Directory
,
, SRV. (
. ,
, ,
,
DNS DNS IP
DNS.
DNS) BIND
DNS, BIND 8.2.1 BIND, DNS-
(incremental) BIND 8.1.2 Lucent VitalQIP,
. SRV . DNS5.2
. BIND. ( BIND
8.2.2.) . DNS опрос о том, использовать ли DNS-серверы системы Windows Server 2003 или DNS-серверы не от компании Microsoft, может вызвать горячую дискуссию и не привести к удовлетворительному результату. ольшие компании в течение многих лет пользовались DNS-серверами BIND, DNS-администраторы грамотны, опытны и не хотят переходить к службе DNS на платформе Microsoft. ни выражают беспокойство по поводу стабильности, надежности и безопасности службы DNS на серверах Microsoft. дин из подходов к решению этого вопроса состоит в следующем: на самом деле не имеет значения, чем обеспечивается DNS-служба. ока DNS-серверы поддерживают записи SRV, Active Directory Windows Server 2003 может работать с любым сервером DNS. ритичным является то, что служба DNS всегда должна быть доступной. сли она перестанет работать в рабочее время, клиенты или серверы не смогут найти контроллера домена Active Directory. оэтому вопрос можно поставить так: « акой DNS-сервер обеспечит надежность, необходимую для работы Active Directory?». линные дискуссии относительно надежности различных серверов, похоже, не отражают сути дела. икакой сервер в единственном числе никогда не может быть полностью надежен, поэтому вопрос надо переформулировать так: « акой DNSсервер обеспечит наилучшие варианты для устранения выделенных точек отказа и распределения доступных служб между несколькими серверами?». ерверы Windows Server 2003 реализуют превосходные варианты для обеспечения надежности за счет нескольких серверов, особенно если используются интегрированные зоны Active Directory. помощью этих зон каждый DNS-сервер может иметь перезаписываемую копию информации DNS. нтегрированные зоны Active Directory также реализуют безопасные обновления. ногие компании решили оставаться с DNS-серверами BIND, и эти серверы обеспечили требуемые функциональные возможности без каких-либо проблем. екоторые компании решили переместить основной DNS в DNS-серверы Microsoft и сохранить DNS-серверы BIND как дополнительные серверы имен. юбая из этих конфигураций будет работать до тех пор, пока DNS-серверы доступны, и не имеет значения, какой вариант использует компания. DNS Windows Server 2003 BIND DNS. DNSBIND . , Contoso BIND Contoso.com. Active Directory DNSWindows Server 2003, . Contoso Contoso.com DNSActive Directory, DNSWindows Server 2003 DNS BIND . DNSWindows Server 2003 DNSBIND. . DNSBIND DNSWindows Server 2003 . DNS, . Active Directory, DNSBIND . Active Directory . Contoso Active Directory, , , DNSBIND. , Contoso.net DNSActive Directory. DNSWindows Server 2003 Contoso.net, BIND -
Contoso.com. DNS-
Windows Server 2003 BIND Contoso.com. AD.Contoso.com
DNSActive Directory . , 2003. DNS , С .
DNS-
BIND Contoso.com AD.Contoso.com Windows Server 2003 DNSBIND.
DNS Windows Server
,
DNS, DNS. DNS-
, Server 2003.
: DNS,
, Windows
BIND DNS Windows Server 2003 Active Directory.
DNS BIND —
, OU
.
2 .
,
OU
.
рганизационные единицы и проектирование Active Directory , . .
Windows NT . , . OU Active Directory
.
OU,
.
. ,
OU, . , . (Group Policy), , . OU, ,
OU, , OU
.
.
•
OU DC=Contoso, DC=Com. DNS
•
DNS. OU DNS. , OU=ManagersOU,OU=AdministrationOU, Contoso.com DNS, LDAPOU. . Group Policy ( ), OU, OU.
.
• GC-
• OU
0U Active Directory, . Active Directory. Active Directory, .
. OU, , OU
Move (
)
.
роектирование структуры OU OU
.
.
че ы . OU ервой мыслью при создании структуры организационных единиц становится подражание организационной схеме компании. некоторых случаях это работает, в некоторых — нет. рганизационная схема компании обычно основана на деловых подразделениях без учета того, где фактически располагаются пользователи. озможно, что члены деловых подразделений рассеяны по всему миру. руппировка этих пользователей в единственную OU может быть весьма неэффективной. сследование структуры компании и ее организационной модели это хорошая отправная точка для проектирования OU. сли компания централизована и иерархична, то структура OU, вероятно, отразит эту модель. сли компания представляет большую автономию деловым подразделениям или географическим местам, то проект OU должен отразить этот подход. ри исследовании структуры компании исследуйте также структуру управления информационными технологиями (IT). некоторых компаниях отдельным деловым подразделениям дается большая автономия для управления бизнесом по их собственному усмотрению, но -управле-ние может оставаться централизованным. этом случае необходимо проектировать структуру OU, базируясь на структуре 1 управления, а не на структуре управления бизнесом.
OU, OU . Active Directory,
,
Windows NT ,
, . ,
,
,
. .
, ,
. OU
Active Directory
. OU.
OU
, . OU,
OU
.
OU
,
,
,
. OU,
, ,
, .
9
. ,
OU. .
,
OU .
OU
.
0U, OU
. .
,
. ,
, Active Directory
. OU, OU.
OU
, .
, ,
,
. (mapped drives).
, .
, .
,
OU
,
. OU
,
,
. OU. OU,
,
.
, ,
OU
OU.
OU
, .
12, 13
,
11,
.
оздание проекта OU OU
-
-
. OU, :
. OU
. OU, .
,
, ,
.
OU,
,
, ,
.
( )
, OU,
OU .
,
, .
,
, OU,
.
OU
.
OU
. , . ,
,
,
OU
. , . ,
-
, ,
OU
OU .
,
OU ,
OU, 5-11 Controllers OU (OU
. OU
. OU
Domain OU) OU
)( . OU
OU (Service Account),
OU , ,
. ,
. OU
OU .
OU
OU
,
.
,
,
.
. 5-11.
OU
OU .
-
OU ,
.
OU
OU, .
OU ,
. OU
OU.
•
-
OU
.
OU
OU,
,
.
•
OU OU Professional OU , OU
• •
OU , (
С
OU , ,
. OU. . ,—
,
Windows NT, Windows 2000, Microsoft Windows XP . , OU. . . ), , , , , OU. , , OU, . OU, .
OU,
OU
OU
OU. , OU,
, ,
OU. .
Active Directory Active
. Directory,
, .
айты и проектирование Active Directory Active Directory . ,
•
. ,
. , .
•
,
,
,
.
•
,
Active Directory, (DFS - Distributed File System), .
,
нфраструктура организации сети и проектирование сайта , . :
•
(WAN)
(LAN),
, ;
•
, . , .
, ,
, .
512
/ . 10
•
/ ; ,
,
IP.
оздание модели сайта ,
. ,
.
?
,
? ? ,
- GC-
, , .
, ,
.
:
.
? . , , Windows Server 2003
. ,
?
С
Active Directory
. ,
,
,
.
,
OU
. WAN-
, , .
,
Active Directory,
. Active Directory
.
Active Directory
IP,
,
.
-
,
,
,
IP
.
,
,
. . .
, (bridgehead servers) Active Directory, .
. ,
-
,
, . Active Directory
,
. , .
5-1. . 5-1.
10
/
10
10 / 1,544 / 1,544 / 512 / 512 / 128 / 128 / 56 / 56 /
100 200 400 800 2000
,
5-1,
.
,
,
,
.
,
, ,
. Active Directory .
bridging) ,
(site link ,
, . . ,
.
. .
, ,
(hub sites) , (
.
. 5-12).
, .
,
,
,
,
.
-
5-12 . -
,
.
-
,
, .
,
,
. ,
Active Directory Sites And Services ( Inter-Site Transports ( ) IP-Properties ( IP) ). .
IPGeneral (
(
Active Directory) ). Bridge All Site Links , , ,
,
. . Bridge All Site Links, . .
,
. , . !
роектировани е размещения серверов . 5-12.
, 2003,
Windows Server ,
. ,
.
DNS, 2003.
DNS
DNS -
Active Directory Windows Server Active Directory,
. DNS , . DNS Windows Server 2003 DNS,
. .
-
,
,
DNS-
. ,
,
DNS-
. ,
, ,
.
DNS-
Active Directory. , . П а че ы . роектирование сайтов для филиалов пециальным образом проектируется сайт для компании, которая имеет несколько сотен маленьких офисов с контроллерами домена в каждом из них. то усложняет проектирование и развертывание Active Directory во многих отношениях. аждый дополнительный сайт увеличивает время, которое требуется службе проверки целостности сведений ( ) на вычисление топологии репликации. о время работы служба может занимать 100 процентов времени процессора сервера. большим количеством сайтов контроллер домена, являющийся ISTG (генератор межсайтовой топологии) в центральном офисе, может занять все время процессора и, тем не менее, никогда не завершить вычисление. сли подключение сайта сконфигурировано с графиком, разрешающим репликацию только в течение 6 часов каждую ночь, вы можете обнаружить, что требуется развернуть несколько серверов-плацдармов для еженощного выполнения репликации ко всем удаленным местам. сложняется даже установка контроллеров домена для каждого сайта. сли сетевое подключение очень медленное, и вы просто устанавливаете контроллер домена в сайт, а затем заполняете каталог путем репликации, начальная репликация для большого каталога может занимать часы. Windows Server 2003 имеет несколько нововведений, которые делают развертывание Active Directory в этом сценарии более легким, чем в Windows 2000. совершенствование алгоритма вычислений, который используется процессом ISTG, значительно уменьшает время, необходимое для вычисления топологии межсайтовой репликации. ри создании контроллера домена и заполнении Active Directory из резервных средств хранения информации в удаленном офисе не возникнет большого трафика репликации. есмотря на это, планирование и развертывание сайтов Active Directory в компании с сотнями сайтов все еще является сложным случаем. сли вы имеете дело с таким типом среды, то лучшим ресурсом для вас является Active Directory Branch Office Planning Guide ( уководство планирования Active Directory для филиалов), имеющееся на сайте Microsoft по адресу http://www.microsoft.com/windows2000/ techinfо/planning/activedirectory/branchofficе/default.asp. отя это руководство подготовлено для Windows 2000, многие из концепций применимы к Windows Server 2003. ,
, .
-
,
,
-
. WAN-
. .
, , ,
.
,
. ,
.
,
,
,
,
,
. ,
,
. .
,
-
,
,
-
. IP
,
. , .
,
,
, ,
.
,
-
, . ,
.
-
. .
, , . ,
.
GC-
, Windows 2000, Active Directory. GC,
2000,
(native) Windows
. GC-
.
,
GCWindows Server 2003 GC,
.
. , GC-
.
From (
-
, .
)
. , GC- GCActive Directory
. 8
GC , Active Directory) . Properties ( ) )
. Active Directory Sites And Services ( , NTDS Site Settings (NTDS ) ( . . 5-13). Site Settings ( Enable Universal Group Membership Caching ( ) Refresh Cache , GC.
. 5-13.
. Server 2000
Exchange Server 2000
GC, ,
GAL, Server 2000 GC. ,
, Exchange Server 2000, Exchange Server 2000,
(PDC). Windows 2000
. Exchange
GC. GC. , GC GC
.
,
Server 2003,
Windows Windows NT4
(BDC) PDC
(
Exchange
.
, Directory Services Client PDC,
), .
PDC ,
.
.
PDC
, . . ,
, .
•
, (RID)
, . .
,
,
, .
, . , .
•
RID (RPC). RID,
RPC
,
RID.
•
GC-
,
. .
,
, ,
. ,
GC-
,
GC
. ,
,
•
. ,
, .
Active Directory Active Directory
. .
,
, ,
Active Directory.
, ,
, DNS ,
, —
OU.
,
6.
Active Directory Active Directory
Windows Server 2003, Active Directory. Server 2003,
,
Microsoft
. Active Directory
Windows .
,
,
. , . Microsoft Windows NT4, Active Directory , Windows Server 2003. , Installation Wizard ( Active Directory), Active Directory: . .
,
Active Directory Active Directory
Active Directory ,
Windows Server 2003 Active Directory
,
, . ,
Active Directory. :
Active Directory,
LDAP. 2 Ntds.dit. %systemroot %\system32
, Windows Server 2003
Ntds.dit
.
Active Directory-
,
Ntds.dit
,
%systemroot %\NTDS,
. Ntds.dit, Windows Server 2003, Active Directory . Active Directory
. , ,
(DNS) .
, . Windows
Windows Server 2003 , Active Directory
Server 2003.
есткий диск ,
Active Directory, ,
• • •
15 250 50
(GC). Active Directory , Windows Server 2003, : ; Active Directory Ntds.dit; (ESENT). ESENT
, (rollback), . NTFS,
Microsoft Windows 2000 . Active Directory
Sysvol NTFS v.5 ( Windows Server 2003).
.
Active «Planning Domain Controller Capacity ( )» www.microsoft.com/technet/ prodtechnol/windowsserver2003/evaluate/cpp/reskit/adsec/ parti /rkpdscap. asp. Directory,
беспечение сетевой связи Windows Server 2003
Active Directory
, .
, Windows Explorer ping 192.168.1.1).
UNC
,
IPPing (
,
. Network Monitor ( ,
,
) .
Network Monitor
. 2003. Windows) Panel (
Windows Server
Windows Components Wizard ( Add/Remove Programs ( / ).
)
Control
"Network Monitor" ( (
) Windows Server 2003 Help and Support Center Windows Server 2003). Active Directory Local Area Connection Properties ( ). , Local Area Connection ( ) Network Connections ( ) Control Panel Properties ( ). Local Area Connection Properties Internet Protocol (TCP/IP) ( ), Properties. Internet Protocol (TCP/IP) Properties ( ), . • General ( ) IP. • , , DNS, General DNS, IPDNS, (authoritative) . DNS Active Directory. • Advanced TCP/IP Settings ( TCP/IP) Advanced ( ) General, WINS , IPWindows (WINS), .
DNS .
-
, Active Directory DNS ,
DNS , , .
,
DNS
(SRV) DNS
,
. Active Directory
DNS DNS Active Directory.
Active Directory. , Dcdiag ( \Support\Tools\ Support.msi :
,
, Windows Server 2003).
-
dcdiag/test:dcpromo/dnsdomain:domainname/newforest
,
DNS.
domainname dcdiag dcdiag/?
. DNS Active Directory. DNS, ( . . 5 DNS).
,
DNS , DNS,
,
DNS DNS , Internet Protocol (TCP/IP) Properties ( Preferred DNS Server ( ( . . 6-1).
Active Directory. )
. 6-1.
Active Directory, DNS)
IP-
DNS
дминистративные разрешения Active Directory, . Active Directory
. .
,
, . , ,
. , .
, Enterprise Admins (
).
, , NTDS Setting ( Domain Admins (
NTDS) )
. .
Active Directory Active Directory, . , .
Active Directory
,
DNS
, DNS,
• • •
DNSActive Directory: Configure Your Server Wizard ( Active Directory Installation Wizard ( .
. ); Active Directory);
астер конфигурирования сервера Manage Your Server ( (
) Windows Server 2003. ,
, .
,
. 6-2).
. 6-2.
Manage Your Server (
)
Manage Your Server , Typical Settings for a First Server ( ) , DNS DHCP.
. . ,
Wizard (
Active Directory). , )
Active Directory Active Directory Installation Active Directory Configure Your Server Wizard ( .
астер инсталляции Active Directory Active Directory Installation Wizard ( dcpromo.exe
Run
Active Directory) .
, Dcpromo.exe
:
•
/answer[:answerfil ] Active Directory.
,
;• ,
, Active Directory
/adv .
/adv, . «
Active Directory».
нсталляция без сопровождения Active Directory , dcpromo.exe/ answer:answerfil , . « » , Active Directory. ,
«
»
answerfile —
, , ,
,
,
. .
Active Directory, Server Wizard), )
(Configure Your Manage Your Server ( Administrative Tools (
Configure Your Server Wizard ). Active Directory, Configure Your Server Wizard,
. 1. Manage Your Server Add Or Remove A Role ( ) Configure Your Server Wizard Administrative Tools. . Preliminary Steps ( ) Next ( ). 2. , Local Area Connections ( ). Active Directory, DNS 3. (DHCP), Configuration Options ( ) Typical Configuration For A First Server ( ). Active Directory, Custom Configuration ( ), Next ( . . 6-3). , Custom configuration.
. 6-3.
Configuration Options (
)
4.
Server Role (
) Next (
Domain Controller (
.
),
. 6-4).
Server Role Voucan *et up this server to perform one or more specific rol«r If you want to add more than one rob to this server, you can run this wizard again. Select a role, If ths rule has not been added, you can add it. If It has already been addedj you can remove ft, [f the role you want to add or remove is not Cited, open Add дг сттглЗг-; P-^nr-ins. D Directory) o main Controller (Active :
! :
"Swyer'.Role :;■:..: •:•■"':: -",'. ;; ' •
!..,:> CwiBired ::k
File server Print server
Domain controlers store directory data and manage user logon processes and directory searches.
No №
App*catiori Server £115, A5P.NET) Ma) server (POP3, SMTP) Terminal server Remote access /VPN server
Mo Mo Mo Mo
DM5 server DHCP server Stfearning metis server
No Mo Mo Mo
WINS server
F.ead abqut domahi cpntrolters
View the Conf loure р- Server loo.
.;- j
Server Role (
A :: :
_______ i ____________■ ■ ■ ■ •*
J
1
^1
)
Summary Of Selections ( Next. Applying Selections (
) ). Welcome (
Active Directory (
.
)
. 6-5).
, Active Directory
Run ( Active Directory Directory, Directory
). . Finish ( ,
,
.
. 6-5.
Welcome (
)
Active Active
).
Active Directory
Active Directory Active Directory .
.
, Active Directory. Run ( Directory.
, Active Directory, .
)
dcpromo Active
овместимость операционных систем ,
Windows Server 2003,
Active Directory
, Windows,
,
,
.
, Windows Server 2003, :
(Server Message Block — SMB), . . Windows
• • •
SMB, Microsoft Windows for Workgroups; Microsoft Windows 95 Windows 98; Microsoft Windows NT 4 (Service Pack 3 , ,
:
). , Windows Server 2003 (
. 6-1.
. 6-1). Active Directory
Windows for Workgroups Windows 95/Windows 98
Windows NT 4
. ( ) Services Client ( (
Directory Services Client ( Windows 98
.
Windows NT 4)
Directory ).
) ).
Service Pack 4 ( )—
, (Microsoft Windows 95, Active Directory. (
(DFS) ). Active Directory http:/ /www.microsoft.corn/windows2000/server/evaluation/news/bulletins/ adextension.asp Directory Services Client Windows NT 4 SP6a. , Directory Services Client Active Directory Client Extension, Microsoft. 6-6 Operating System Compatibility ( ).
ипы доменов и контроллеров домена ,
,. (
.
. 6-7).
. , ,
,
, ,
. ,
Active Directory
. 6-6.
Operating System Compatibility (
. 6-7.
Domain Controller Type (
.
) )
,
,
, ( . Active Directory (
.
, . .
. 6-8). . 5),
.
. 6-8.
Create New Domain (
)
менование домена NetBIOS ( DNS
.
DNS .
. 6-9).
, DNS, (-). 63-
, DNS
, , NAmerica Contoso.com, NAmerica.Contoso.com. Z, 0 ( , [.])
DNS. 9
.
. 6-9.
New Domain Name (
)
DNS
,
NetBIOS . DNS. .
,
NetBIOS ( Windows NetBIOS, NetBIOS NetBIOS
.
. 6-10).
, .
. 6-10.
NetBIOS Domain Name (
NetBIOS
)
есто расположения файла Active Directory Active Directory (Ntds.dit), Sysvol.
. 6-11.
Active Directory ( . . 6-11).
Database And Log Folders (
)
— %\system32. Directory , NTFS v5. Active Directory,
Sysvol - %systemdrive %\Windows. Sysvol , Sysvol , , ( .
роверка или установка DNS-сервера Active Directory
,
DNS, .
DNS-
,
%systemroot Active .
. 6-12).
DNS
SRV. Microsoft . DNS Microsoft, Windows NT 4 (SP4), Windows 2000 Server Windows Server 2003.
. 6-12.
Shared System Volume (
)
, Active Directory , Active Directory. ( , , .) DNS DNS Registration Diagnostics ( Directory DNS DNS
Active Directory, , DNSDNS DNS ,
DNS. Active Directory 6-13 Active Directory , ,
, DNS
, Active
.
DNS,
,
, DNS)
.
.
DNS-
DNS,
. ,
DNS , Active Directory.
, 6-13.
DNS
DNS
DNS , DNS-cep( DNS. ( Active Directory.)
DNS Registration Diagnostics ( Active Directory
Active Directory, . TCP/IP) IP-
DNS)
Active Directory,
. DNS
DNS Active Directory. Active Directory
.
.
3.
ыбор заданных по умолчанию разрешений для пользовательских и групповых объектов , Windows Server 2003
Windows 2000, , ,
Windows NT 4.
. , Windows 2000 (Microsoft SQLRemote Access Service, RAS), Active Directory (
,
. Everyone ( ) Anonymous Logon Pre-Windows 2000 Compatible Access ( , Windows 2000).
) , Active Directory
• •
. Permissions ( ) ( . . 6-14): Permissions Compatible With Pre-Windows 2000 Server Operating Systems ( , , Windows 2000); Permissions Compatible Only With Windows 2000 Or Windows Server 2003 Operating Systems ( , Windows 2000 Windows Server 2003). ? Windows NT, , Windows NT , : Permissions Compatible With Pre-Windows 2000 Server Operating Systems. Windows 2000 Windows Server 2003, , , Windows 2000, , Permissions Compatible Only With Windows 2000 Or Windows Server 2003 Operating
. 6-14.
Systems.
Permissions (
)
, Active Directory,
2003, . 2000 Compatible Access ( Windows Server 2003
,
. Windows 2000 Windows Server 2003 , SID
Windows Server
Pre-Windows Windows 2000). Everyone ( )
Anonymous Logon (
).
Users And Computers ( ( ), ( Name (
Active Directory Active Directory), Builtin Pre-Windows 2000 Compatible Access ). Members ( ) SID Remove ( ). :
)
net localgroup "Pre-Windows 2000 Compatible Access" Everyone "Anonymous Logon" /delete
,
, . Finish Replication Later
(
).
, .
.
6-15.
Directory
Services
, ,
Restore
Mode
Administrator )
Password
(
, Active Directory Windows Server 2003
. . Active Directory Active Directory Users And Computers , , Administrator Domain Admins, Enterprise Admins. « » Authenticated Users ( ) Interactive ( ). « » , . , . « » Active Directory Users And Computers. , View ( ), Advanced Features ( ). . Foreign Security Principals ( ). S-1-5-11 S-1-5-4, Authenticated Users SID Interactive SID, . , .
«
»
Active Directory , /answer [:filename] Dcpromo. . , . Active Directory Windows Server 2003 . E:\I386\winnt32/unattend[:unattend.txt], unattend.txt , Windows Server 2003. ( , CD-ROM , .) Unattend.txt [Deinstall], Active Directory. Active Directory Windows Server 2003, , [Deinstall]. Run dcpromo/ answer:answerfile ( answerfile ). ASCII, , Active Directory. , DNS , : [Deinstall] UserName=admin_ username Password=admin_password UserDomain=acmin_domain DatabasePath= LogPath= SYSVOLPath= SafeModeAdminPassword=password ReplicaOrNewDomain=Domain NewDomain=Forest NewDomainDNSName=DNSdomainname DNSOnNetwork DomainNetbiosName=NetBIOSdomainname AutoConfigDNS=yes AllowAnonymousAccess=yes CriticalReplicationOnly=yes SiteName= RebootOnSuccess=yes
,
,
,
.
,
,
, (
,
). http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b223757. ReplicationSourcePath — , , ,
Cwitcso,DOCom ': CM^SysttmjDC-^ontMOjDC-com CJ+Users,tJC=Conto5o,OC=-com З■■■■DC«AppPartftFonljDC"ContcfiOjDC"=com ■ DC=f=dre5tOnsZones,DC=CtjntosoIDC=corn :; CM-CDFtftgurettoTiDC-Contoso^^cam DC^CofnainCTKZonesjDC^Coritoio^^om
Si!ea.CM=Confi'guratiort,oc=Coniuso,DC--cpfn; ■ ' I» ms-DSAdd/ Remove ( > / ), Add ( ), Group Policy Object Editor ( ). Group Policy Wizard ( ), Browse ( ), Domain Controllers.domainname.com ( domainname — , ). 9-9 Active Directory Windows Server 2003.
. 9-9.
Default Domain Controllers
Active Directory, Audit Account Management ( , Active Directory, Active Directory,
, ). .
Active Directory. Active Directory Windows Server 2003 . OU . . Properties (
) Security ( Auditing ( ). Computers
. 9-10.
), 9-10
, Active Directory, Active Directory. Advanced ( ) Active Directory Users And OU Active Directory.
Active Directory
,
Add ( .
, Everyone,
)
,
.
,
,
.
,
, .
,
. ,
, .
, . Security,
, Event Viewer (
). .
. OU
Security
,
.
, ,
. ,
.
, . . , .
Microsoft Operations
Manager (
) (
) . .
Microsoft http://www.microsoft.com/mom. MOM , .
-
Operations Manager (MOM),
Active Directory. , . ACL-
Active Directory
, .
,
Active
Directory .
, , . Active Directory
•
. ,
OU.
, . ,
Windows NT
OU
Active Directory. ,
OU.
, ,
.
•
OU. .
, OU
.
, , OU
-
. (OU),
,
, ,
,
OU,
.
•
. , . , . . .
•
. .
,
, . ,
,
-
. Active Directory Windows Server 2003.
ACL
.
. , Active Directory Windows Server 2003 Delegation Of Control Wizard ( ). Delegation Of Control Wizard, . 1. Active Directory Users And Computers , . OU, , , Computers ( ) Users ( ). Delegate Control ( ). Next ( ). 2. Users Or Groups ( ) , . Add ( ), Active Directory . 3. , . ( . 9-11) .
. 9-11.
Delegation Of Control Wizard (
)
4.
,
, (
. 9-12).
. 9-12.
,
5.
, : (
9-13).
. 9-13.
Delegation Of Control Wizard ,
ACL-
. . ACL-
.
.
Active Directory Windows Server 2003 , . Active Directory
, .
,
OU,
, . Windows Server 2003 . (taskpad),
.
.
астройка консоли управления Microsoft Microsoft ( .
- Microsoft Management Console) -
.
.
.
,
-
,
.
,
OU, OU. Active Directory Users And Computers , . Run ( . . File ( ) Active Directory. , Active Directory Users And Computers, , . New Window From Here ( ). , . , , , , - . . , . -
-
, ,
Options
,
File. User Mode (
-
. Help And Support Center (
. 9-14.
).
-
, ),
, 9-14
)
-
. -
оздание панели задач для администрирования -
, OU.
,
. .
,
,
.
-
,
,
.
, ,
, ).
New Taskpad View ( New Taskpad View Wizard. ,
,
,
. .
,
. ,
.
OU,
,
,
, .
,
, . 9-15
, OU.
, ,
Reset Password ( ).
..............................................................................................................■■■■■■■■■■■■■■■■■■-■■■■ ■ ■■" ...............................""■
. 9-15.
ч
я
----------- —: ---------------------_* ----------------- >~™ ---------------"-™—и-----------------:-,i^:^:..-i.i.^... ,-,- ^
Active Directory Windows Server 2003
, . . ,
Active Directory
,
. ,
,
.
,
,
, .
.
,
• .
,
,
. Domain
Windows NT, Admins. ,
, ,
. ,
, ,
.
,
, -
•
,
. , . . ,
,
•
Effective Permissions (
Settings (
,
. Advanced Security
)
) . Effective Permissions Active Directory Windows Server 2003,
,
. , ,
,
,
•
. . ,
, ,
, ,
,
. . , , ,
.
Active Directory Windows Server 2003 Active Directory,
. ACL, .
,
. , , , ,
, Active Directory. Active Directory
. Active Directory .
10. Directory
Active
, Directory Directory Directory
Microsoft Active Active Active Active Directory ) group ( )
Windows Server 2003, . . .
user ( .
, Active Directory shared folder (
. ,
printer (
), computer ( .
), ,
Directory.
Active Active Directory
, ,
. , Active Directory) Windows Server 2003.
(
, Active Directory Users And Computers ,
Active Directory Windows Server 2003
, .
(
)
)
, , contact (
inetOrgPerson, .
user )
.
бъекты User Active Directory —
user.
user, Active Directory, . 250. Active Directory Windows Server 2003 Microsoft Windows NT, user Active Directory , , Active Directory . , . Active Directory, . user , 10-1, sAMAccountName , . , .
, . . :
. , (SID),
.
10-1.
, Adsiedit.msc
user. , Adsiedit.msc,
(UI),
Assistant (
).
, .
Ldifde. Center (
).
Csvde Help And Support ,
UI .
Find ( Computers ( Find, ,
). , Active Directory) Assistant, , Field ( ), User ( .
. 10-2.
Active Directory Users And , Advanced ( ) Assistant ( . . 10-2). ), .
,
. Adsiedit.msc
user, . Active Directory
Ldp.exe. ,
,
. Active Directory TechNet Script Center http://www.microsoft.com/technet/scriptcenter/default.asp. TechNet Script Center , , Active Directory. Microsoft Press Online http:// www.microsoft.com/mspress/, «Introduction to ADSI Scripting Using VBScript» ( ADSI VBScript), (Mike Mulcare). , , Active Directory Users And Computers. user, , , New>User ( > ). Full Name ( ) User Logon Name ( ). Full Name , User Logon Name sAMAccountName. , . , — Account ( ) ( . . 10-3). , Account, 10-1. . 10-1.
User UserLogonName (
(UPN) . , , Windows 2000, domain\username.
,
, . ( NetBIOS
) Log On To ( . 10-3.
Account
user
) Logon
Microsoft User (
),
)
)
( Windows 2000) . Logon Hours (
Name
Account (
Is
Locked
Account
Options )
Out
,
-
) . ( ,
. Account
Expires
( )
.
user
Active Directory
Active Directory
, ,
. username,
user user
10-2
, ,
.
абл. 10-2. ребования уникальности имени пользователя
Username (
)
First name, initials, last name ( , ) Display name ( ) Full name ( )-
,
. .
. First Name, Initials Last Name ( ). Adsiedit.msc Username ( ) User principal name ( ). UPN DNSUPN,
(OU). New Object-User ,
.
UPN. User Logon Name (Pre-Windows 2000) ( , Windows 2000)
.
UPN
. , . UPN-
UPN,
,
UPN, .
DNSDNSSMTP-
.
DNS. ,
,
SMTP.
UPNUPN-
( Active Directory Domains And Trusts, Properties ( )( . . 10-4). .
, Active Directory),
, ,
. Active Directory Domains And Trusts , UPN-
,
. 10-4.
UPN-
бъекты inetOrgPerson Active Directory Windows Server 2003 inetOrgPerson. , (Lightweight Directory Access Protocol — LDAP) .500, Request for Comments (RFC) 2798. inetOrgPerson, Microsoft Active Directory Active Directory. . Windows 2000 Windows Server 2003 inetOrgPerson, Adprep.exe /forestprep. Adprep.exe \I386 Windows Server 2003. inetOrgPerson Active Directory Users And Computers. , , New>InetOrgPerson. inetOrgPerson . inetOrgPerson user, . . , , . inetOrgPerson , user.
четные записи Contact , Active Directory, — contact ( ). contact user inetOrgPerson , (security principal). contact . contact Active Directory Users And Computers, , , New>Contact. contact , , . . , , , . , , , . . , , Active Directory. , , (GC) . , . Microsoft Metadirectory Services (MMS), contact
. MMS
Microsoft Consulting MMS. http:// www.microsoft.com/windows2000 /technologies/directory / mms/'default, asp. contact Microsoft Exchange 2000 Server, , , . Exchange 2000 Server Active Directory, Active Directory. Exchange Server 5.5 . , , Exchange. Exchange 2000 Server, contact . contact, , . contact, . .
Services (
)
Active Directory
.
, .
.
.
, ,
(ACL) . , .
group
ипы групп Windows Server 2003 (distribution group) group,
, (security group). ( . . 10-5).
'■■■ paiesManagers broup riant* fpfeiW*iefaws-20bO) ■ 1 SalesManagers
.
Q. Oft "
|
.Cancel.' :j'j
. 10-5.
Active Directory Users And Computers
Active Directory . .
,
. , Exchange 2000 Server
, ,
. ,
,
,
, . Exchange Server 5.5, Exchange 2000 Server. Exchange Server 5.5
. ,
, Exchange-
.
Exchange 2000 Server ,
. , Windows 2000 native ( ). ( . . 2-1, 2-2 . 2.) , user contact
,
. Active
. Directory,
.
бласть действия группы Active Directory Windows Server 2003 :
,
.
10-3
. , (nested groups} —
. Windows 2000 native. . . е
, ,
, ,
, ,
Windows 2000 native,
. , (mixed)
Windows 2000 native. Windows 2000,
, Windows NT 4. ,
,
. Windows 2000, ,
Windows 2000 . 10-3.
Windows Server 2003.
Active Directory
Domain (
Local ) . Windows 2000 Windows Server 2003.
Global (
,
)
, , . -
,
Windows. Universal (
) , , . Windows 2000 Windows Server 2003.
-
.
,
, Windows 2000
. Server 2003,
Windows ,
.
. Windows NT. . Windows Server 2003, .
, Windows 2000 Active Directory Windows Server 2003 .
Directory Windows 2000
Active
Windows 2000 native, . Windows 2000 mixed
native,
, .
,
. .
,
,
. Managers
, . Active Directory,
«
». ,
. (GC) Windows 2000 native,
. . . Windows Server 2003,
,
Windows Server 2003,
. .
,
, ,
GC-
, Directory Windows Server 2003. Server 2003,
.
Active Windows ,
,
.
GC-
, . , ,
. ,
. ,
, , GC-
Active Directory Windows Server 2003 Users (
)
Builtin (
.
). .
( ) Domain Admins ( Administrator, , Domain Admins Administrators. Administrator ( ) Schema Admins (
Administrators ). , , Enterprise Admins ).
оздание проекта группы безопасности Active Directory . .
, . . ,
.
Active Directory
.
, ,
,
. ,
.
.
• • •
. . ,
. ,
,
, ,
. , -
,
. .
,
,
. . .
,
.
,
, .
.
. ,
,
-
. . ,
Read
Only (
), .
, ,
: . .
,
Human Resource (
),
.
, ,
. . ), - Full Control ( Human Resources Full Control, Read Only, -
Read Only ( ). ,
( ,
)
Modify Read
Only. , . , (owner)
. authorizer (
,
). .
. ,—
,
.
. *. ,
, , ,
. ,
. , . 10-6,
, ,
. . Windows NT .
,
-
Windows NT, .
Windows 2000 Windows Server 2003, Windows 2000 native, ,
. , .
. 10-6.
, , .
,
. . ,
.
Exchange 2000 Server , , Exchange Server 5.5 . Exchange 2000 Server, Exchange Server 5.5 Exchange 2000 Server Exchange Server 5.5 , , .
Active Directory Windows 2000 ,
,
-
, , -
, .
GC. Windows 2000. Windows Server 2003 Windows Server 2003 Windows Server 2003 interim ( ), , . , , GC, GC, , Active Directory Windows Server 2003. .
,
.
computer ( ). domain controller ( .
Active Directory . -
Active Directory ), domain
OU Domain Controllers.
controller OU,
. OU Domain Controllers, . computer .
,
, Active Directory
Computers.
computer
OU,
. ,
,
(OU). . ,
, OU
. OU, . ,
. , Microsoft Windows XP Professional . , Microsoft Windows 98,
. Windows NT, Windows 2000,
Windows Server 2003, Microsoft Windows 95 . Active Directory Active Directory, -
. .
. ,
, ,
. Active Directory ).
Computer Management ( Active Directory Users And Computers, Manage ( Computer Management, . , Active Directory, , Directory . 11, 12 13
-
).
. Active , .
printer Active Directory
printer. Active Directory,
printer ,
,
( printer
).
, Active Directory .
убликация принтеров в Active Directory , 2003,
, ,
Properties ( Windows NT Active Directory.
)
Windows 2000 Windows Server Active Directory. List In The Directory ( )
. , ,
printer,
container, New
(
)>Printer (
).
. С . Windows
UNCWindows NT
2000 Windows Server 2003, Windows NT Active Directory.
Microsoft
Pubprn.vbs,
.Э
%systemroot %\system32. Active Directory Active Directory. Properties ( Computers. ,
)
printer
, ,
, , Active Directory, ) Search (
Network (
, ),
,
. Windows
Professional.
(
), printer Group Policy Object Editor ( . , . Directory, printer
. Active Directory, . 10-8). ,
, printer
.
,
Active ,
, Active Directory
printer. 8 , Windows 2000,
,
. printer
,
. 10-7.
Active Directory Users And , . A Printer On The Start ( ), 10-7 , Connect
Active Directory
Active Directory. , Active Directory. Group Policy Object Editor.
. 10-8. Policy Object Editor
Group
Active Directory, printer —
, ,
.
,
,
, ,
. .
.
,
, ,
, ,
. ,
Active Directory, ,
. .
, Active Directory Sites And Services
1.
. subnet (
),
. subnet )
(
Properties ( location (
).
Location ) . location/sublocation ( / ). Pre-Popula-te , .
: )( , 2. Group Policy Object Editor Printer Search Location Text ( ) . 3. Properties General ( ) , Browse ( . , / / 5). 4. . Wizard ( ) , ) 10-9 Windows Professional. Browse /
. . ), (
, , Add Printer Location ( .
.
. 10-9.
printer
Active Directory
Location
Active Directory shared folder ( Active Directory, New (HoBbm)>Shared Folder ( ). Active Directory, UNCActive Directory shared folder, Active Directory. shared folder, . Active Directory , , . shared folder, ( . . 10-10). Properties ( ) . , Active Directory, , , . ,
).
. 10-10.
Active Directory
, , ,
,
, \\Server1\SalesInfo. , , Active Directory ,
Active Directory, , . Active Directory
,
,
, ,
UNCSaleslnfo, Active Directory \\Serverl\SalesInfo.
.
, .
. .
,
Active Directory Windows Server 2003 Windows 2000 , .
•
Active Directory, Windows 2000, Windows Server .
2003 Active
Drag and drop. Directory Windows Server 2003 Active Directory. OU
.
.
•
— Active Directory
. . Windows 2000
•
•
. Active Directory Users And Computers Windows Server 2003 . , Marketing ( ) , . , , Department Marketing. , Properties ( ). . Windows Server 2003, . . Active Directory , . , , . , , , 30 . Saved Query ( ) New ( )>
Options (
DC)
.) ,
)
. 11-3). (
, PDC,
Operations Master ( PDC.
,
,
.
. 11 -3.
,
GPO
оздание объектов GPO GPO. Active Directory GPO. Properties ( 4). (
).
, Group Policy (
)(
GPO,
.
,
. 11New
). — (Microsoft Management Console) Group Policy Object Editor ( ). GPO, . Local Computer Policy ( ). Browse ( ), GPO . GPO , ( .
. 11 -4.
. 11 -5. GPOPolicy Object Editor
GPO,
OU
Group
-
GPO ), Group Policy Object ( ,
. 11-5).
Welcome To The Group Policy Wizard ( Create New ). GPO, , GPO. 11-6
GPO.
GPO
.
дминистрирование объектов групповой политики GPO
, Group Policy GPO ( . . 11-4).
, ,
.
. 11-6.
GPO-
. 11 -3.
Add (
GPO
) GPO .
Add, ,
11*5.
GPO .
Edit (
) GPO, GPO. (
.
Edit, . 11-
6). Options (
No Override GPO.
) (He
) « »
.
. Properties ( 11-3
)
Delete (
)
GP GPO
Active Directory, .
. Properties (
)
] GPO .
: :
, GPO. « »
.
аследование групповой политики и ее применение GPO
,
OU
Active
Directory. Users
Computers. .
,
,
, .
.
1. Local group policy (
). .
2. Site-level group policies (
). Active Directory. 3. Domain-level group policies ( ). Active Directory. 4. OU-level group policies ( OU). OU, OU, — OU . Active Directory . , . 11-7 , OU. Scripts Policy ( - Desktop Policy ( ), - Office Installation Policy ( ).
GPO ),
. 11-7.
,
, ,
, . GPO Run
,
GPO
Run OU. GPO GPO
. Run, . , (
, Run,
. GPO ) Not Configured (He , Disabled, .
), Disabled ( Enabled, . ,
, — : Enabled ). , , GPO,
,
Disabled. Run
GPO, Run OU OU ,
Run Configured,
, OU
. ,
.
Not ,
.
зменение заданного по умолчанию способа применения групповых политик /
/
/
(Local/Site/Domain/Organizational Unit -LSDOU). . , .
OU . 5,
OU , .
OU
.
, . , .
,
OU,
, .
, . ,
. ,
Active Directory Windows Server 2003 . . . ,
Properties ( ). Block Policy Inheritance ( , , .
Group Policy ( ) (
.
, ) . 11-8).
, ,
OU,
. ,
, (
Run
)
, . ,
, OU .
. 11 -8.
0U
. ,
. . No Override (He
). ,
-
.
,
,
,
, Policy, ( . . 11-9).
Properties ( ,
. 11-9.
)
.
Group No Override
Options
No Override
No Override
, ,
.
-
,
.
,
, No Override,
.
. No Override GPO.
.
,
GPO
,
GPO .
GPO, . . No Override No Override
,
No Override, No Override GPO, GPO,
OU, OU.
. .
.
Active Directory. . . GPO )
, Read (
).
)
Security ( 11-10, Security Authenticated Users ( Apply Group Policy ( , ,
)
,
. , Authenticated Users Read Active Directory
Apply Group Policy Security Apply Group Policy. ,
. Apply Group Policy. (ACL) , ,
.
. 11-10. GPO
Security(
) GPO
Properties (
)
.
, .
,
,
, ,
, . ,
.
,
, .
, ,
.
OU ,
,
GPO
, GPO-
,
,
. ,
OU,
, ,
GPO, OU.
-
,
Policy
.
-
, ,
, Apply Group
,
,
, Deny (
)
, Apply Group Policy (
) .С . Read
, Apply Group Policy Access (
).
, , ,
, С
.
. Active Directory Windows Server 2003 , Windows Management Instrumentation ( Windows) (WMI). WMI, WMI, , . , , , 200 , , 64 . (Help And Support Center) WMI Software Development Kit Microsoft http: // msdn.microsoft.com/ library/default.asp?url=/library/en-us/wmidsk/wmi/ wmi_start_page.asp.
, , Properties (
)
GPO (
. .
,
. 11-11), ,
.
ffy . Cteete*
12/3/2002 &.45'5)PM
Modified;
i2/3/20cea5ziaPM
I Revision '. Ursquen
0 [Compulei]. 1 lUsei)
..,..:
am (C8E 3EE4FA8024MD e846-75WO?3B ■!13) e
To impfOVQ performance. и?е these options to tfcsable tnused parts й this GTOUP Pcicy ObtscL 1* | |?^. З ..из ям^-'-I .DisablsUsttConf^abo^ «flings
■OK
р *
Caned
. 11-11.
GPO
.
, ,
,
,
.
, ,
.
, ,
. ,
, Properties (
)
. Options (
GPO .
)(
,
, . 11-9).
. ,
,
,
.
,
,
.
.
бработка групповой политики , , Active Directory Windows Server 2003,
GPO , .
,
.
1.
, . IP-
DNS-
,
2.
DNS.
,
.
, , GPO-
, ,
.
3.
GPO. .
,
, GPO
,
LSDOU-
. 4.
,
GPO,
. . Windows XP
, . .
Windows 2000 -
. , ,
, -
,
.
,
Windows XP
. . UserConfiguration\Administrative Computer Configuration\Administrative Templates\ System\Group , Computer Configuration
Templates\System\ Group Policy Policy. 11-12 . ,
■ . Г- :аф1- ! ..у!- и«!№ г-
:
Fjjft . Action.' ^evv . -. mm 4;'j% ?£ DesHopPdicytDCl.CQnltcso.ccJ^j ^ Corriputer Configuration . #! ■ l*i Software Settings i+J ^JU : Window! Settings [=1Administrative Template**! gj-T-%1 : Windows Component .-i ■ Si) System Јj User Profiles Scripts '"'■'l Logon ' -dO Disk Quotas It: G3 Net Logon ■ ^ Group Pdfcy ■ Јfj Rerrrate Assistar ; j- -^J System Restore ] $■ Error Reporting j-g|Ј Windows File Pr| ■ ^J Remote ProeeoV; .+ ^J Windows Time Sj i+; ■§! Network £0 Printers (^ User Cor^gurabon.
Pit
даление программного обеспечения через групповые политики , . . 1. . 2.
, .
3.
. . .
GPO, ,
GPO. Installation ( ( ).
, ),
Software Remove
All Tasks ( ), , Immediately Uninstall The Software From
12-11 . Users And Computers ( ),
. Allow Users To Continue To Use The Software, But Prevent New Installations ( , ), , , GPO.
. 12-11.
Windows , ,
Windows, , , Windows Installer. Active Directory Windows Server 2003 , . , GPO Computer Configuration ( ). Administrative Templates ( ), Windows Components ( Windows), - Windows Installer ( Windows) ( . . 12-12). : User Configuration\ Administrative Templates\Windows Components\Windows Installer. 12-2 . ,
.
12-12.
Windows
. 12-2.
Windows
Disable Windows Installer ( Windows) )
( Windows.
, Windows, , , .
Always Install With Elevated Privileges ( ) ( )
, , . , Windows .
(
Prohibit
Rollback
(
«
»)
,
)
Windows , ««
»
. Remove Browse Dialog Box For New Source ( Browse ( ) ( )
), , Windows. Browse, , .
. .
Prohibit
(
Patching «
») )
(
, Windows. , , .
Disable IE Security Prompt For Windows Installer Scripts ( IE Windows)
,
,
(
Microsoft
)
Internet
Explorer.
, Enable (
User
Control
Over
.
Installs .
) ( )
, , .
Enable User To Browse For Source While Elevated ( , ) )
,
(
.
Enable User To Use Media Source While Elevated ( , , )
(
.
) Enable-User To Patch Elevated Products ( , ) ( )
, .
Allow Admin To Install From Terminal Services Session ( (
)
,
) Cache Transforms In Secure Location On Workstation ( ) )
(
. , .
.
(
Logging
(
) )
Windows .
Prohibit
User
Installs
( ) (
, ,
)
.
,
, ,
. , . , Windows ).
v2.0
(
Turn Off Creation Of System Restore Checkpoints ( Windows )
XP
Professional,
( )
System Restore
(
Search Order (
).
) ( )
, Windows . Windows — , - URL
,
З
Prevent Removable Media Source For Any Install (
-
Windows ) )
(
.
.
, . . . ,
.
,
, . , . .
. ,
, (
), .
-
, .
, OU. Active Directory
GPO
. , ,
GPO GPO , GPO-
GPO-
.
, ,
.
,
. ,
GPO. .
,
GPO
,
,
GPO
.
,
(
),
,
. , . ,
Active Directory,
.
, ,
/ .
500
,
(LAN) ,
. ,
,
. ,
,
, LAN.
, LAN,
LAN. Active Directory. ,
,
. , . (RIS — Remote Installation Services) . ,
.
, ,
, . ,
.
RIS RIS-
, . . ,
, OU Active Directory
, .
. .
лужбы обновления программного обеспечения альтернатива обновлению компьютеров. ,
,
-
. . , . Windows Update ( .
,
Windows)
, .
,
.
Microsoft
.msi
,
-
.
Microsoft (Software Update Service — SUS) ,
. . Windows 2000
SUS SUS, Windows
Server 2003. Windows Update.
. ,
. SUS Windows 2000 Professional Server ( Service Pack 2 ), Windows XP Professional Windows Server 2003. Windows 2000 Service Pack 3 Windows XP Professional Service Pack 1 SUS. SUS SUS, . SUS . , Computer Configuration, Administrative Templates, Windows Components, — Windows Update ( . . 12-13). , SUS.
. 12-13.
SUS Microsoft , http://www.microsoft.com/windows2000/ windowsupdate/sus/susoverview.asp.
,
,
.
Microsoft Systems Management Server (SMS) , Windows 2000
Windows XP Professional. , Windows 98
Workstation, Windows 95
LANDesk
Intel.
Windows NT .
,
. . , .
,
, LANDesk
SMS wake-on-LAN, . ,
SMS,
.
, , ,
,
. ,
,
-
,
. ,
,
. ,
. , . ,
.
, ,
, . ,
. , .
Active Directory
, ,
. ,
, GPO
,
. ,
( SMS
LANDesk)
. , ,
,
, .
, . Office
, ,
. ,
«
, »
.
, VPN-
. -
. , .
— ,
.
,
,
, . ,
.
.
, Windows XP
Windows 2000 ,
Professional,
,
.
, .
Active Directory Windows Server 2003 .
Windows, , . , .
13. 12 Directory
Active Microsoft Windows Server 2003
— ,
. . , ,
, , .
, . .
, .
,
,
. ,
,
.
-
, .
,
, .
, . ,
.
, ,
.
.
че
ы .
большинстве случаев управление рабочими столами пользователей требует равновесия между централизованным управлением компьютерами и удовлетворением потребностей пользователей, которые хотят иметь полный контроль над своими рабочими столами. сли реализовать все опции управления, обсуждаемые в этой главе, можно полностью блокировать пользовательские рабочие столы, чтобы пользователи гарантировано не смогли сделать никаких неправомочных изменений. ногие администраторы думают, что предоставление пользователям возможности изменять параметры настройки означает только то, что они сконфигурируют что-либо неправильно, и это приведет к увеличению объема работы для администратора. ногие пользователи, с другой стороны, во всех попытках управления их рабочими столами видят вторжение в их личное пространство. точки зрения пользователя рабочая станция является частью индивидуальной рабочей среды, и любые попытки управления этой рабочей средой вызывают решительное сопротивление. ешение о правильном балансе между централизованным управлением рабочими столами и контролем их со стороны конечного пользователя в разных компаниях различно. екоторые компании уже имеют опыт использования системной политики в Microsoft Windows NT 4 или групповых политик в Active Directory Microsoft Windows 2000, и их конечные пользователи уже приучены к некоторому уровню блокирования рабочего стола. таких компаниях можно вводить новые ограничения без особого беспокойства. днако во многих компаниях раньше не существовало никаких ограничений, поэтому первая же попытка реализовать ограничение вызовет
,
активное сопротивление. ля большинства компаний наилучшим подходом к управлению рабочими столами является медленный старт и создание благоприятного первого впечатления. то означает, что вы используете групповые политики для решения проблем, раздражающих конечных пользователей. сли вы покажете конечным пользователям, что управление рабочими столами фактически сделает их работу более легкой, они более охотно согласятся на дополнительное управление. другой стороны, если первые результаты вызовут сотни звонков в сервисный отдел, то вы лишитесь поддержки для реализации любого управления рабочими столами. ругим важным компонентом для успешной реализации групповых политик является помощь со стороны управленческого аппарата. боль-шинстве компаний дирекция идет навстречу всему, что уменьшает стоимость управления рабочими станциями. сли вы сумеете доказать, что уменьшение стоимости работ является конечным результатом вашей реализации управления рабочими столами, то вы наверняка получите поддержку дирекции в улаживании жалоб, поступающих от конечных пользователей, не желающих, чтобы их рабочими столами управляли.
Active Directory Windows Server 2003
, .
Group Policy. .
13-1 GPO. .
. 13-1.
Default Domain Policy ( )
13-1
Т
. 13-1.
Computer Software Settings ( Configuration and User Configuration ) (
, .
) Computer Windows Configuration and ( User Configuration Windows\ ( ) Computer Windows Configuration and Settings ( User Configuration Windows\ (
Settings\
Scripts
) . Settings\
Security
,
)
.
)
, .
(
User
User (
Configuration Windows Redirection )
Configuration )
(
User
Settings\ Folder ( Windows \ )
, , Documents
My ),
.
Windows Settings\ Remote Installation Services ( Windows \ )
Configuration Windows Explorer ) ( Windows\ Explorer)
Computer Administrative Configuration and ( User Configuration (
(
(RIS).
Settings\ Internet Maintenance Microsoft
Internet
Internet Explorer . Templates ) , .
) .
,
, ,
. ,
, . . .
.
, ,
, ,
,
.
, . ,
,
,
.
Active Directory .
-
-
, . ,
.
, ,
,
. , Active Directory,
,
, .
Active Directory , .
правление пользовательскими профилями .
HKEY_CURRENT_USER (
Documents ( (
. 13-2.
Ntuser.dat), . , ), Start Menu ( ), Desktop ( ). 13-2 Windows Server 2003.
)
My Application Data
, . , , , Documents And Settings ( ,
-
, .
%systemdrive%\Documents And Settings. , , ). , , . . , ,
,
,
, .
, . .
,
, ,
, Windows 2000
.
Windows XP Professional , , , , . Profile ( ) Properties ( Active Directory Users And Computers (
.
, ,
) Active Directory). . .
,
, . ),
(
Domain
Admins ),
Account Operators ( ) Enterprise
(
Admins
, .
, .
Ntuser.dat
Ntuser.man.
, .
,
,
, ,
. Windows Server 2003. , .
. Computer Configuration\ Administrative Templates\ System\User Profiles. User Configuration.
13-2
.
. 13-2.
Do Not Check For User Ownership Of Roaming Profile Folders (He
, Microsoft Windows 2000 Service Microsoft Windows XP Professional Service
Pack 4 Pack.
-
) . . Delete Cached Copies Of Roaming Profiles ( )
,
,
. ,
Windows 2000
Windows XP Professional, .
Do Not Detect Slow Network Connections (He )
. , , .
Slow Network Connection Timeout For User Profiles (
.
, -
/ , IP120 .
500
, ) Wait For Remote User Profile (
( )
, . ,
)
, .
Prompt User When Slow Link Is Detected ( ,
, , .
,
) Timeout For Dialog Boxes ( )
. , . ,
, .
Log Users Off When Roaming Profile Fails ( ,
,
. ,
, ,
.
( )
.)
Maximum Retries To Unload And Update User Profile (
Ntuser.dat, .
60 . Add The Administrators Security Group To Roaming User Profiles ( . Windows XP
Windows 2000 Professional ,
) Prevent Roaming Profile Changes From Propagating To The Server (
. , , . )
Only Allow Local User Profiles (
, .
,
) Connect Home Directory To Root Of The Share ( Windows NT. ) ' ( User Configuration) . ),
, , , З
( ,
. Limit Profile Size ( ) ( Configuration)
, User
, , .
Exclude Directories In Roaming Profile ( ) ( User Configuration)
.
13-2, Active Directory Windows Server 2003 .
.
,
,
, ,
,
.
,
,
,
,
.
,
, .
(OU), ,
. , . ,
, ,
. .
,
. My Documents ( ,
-
,
)
. .
.
, ,
,
,
,
,
, .
, ,
. .
ереназначение папки Active Directory Windows Server 2003 . ,
,
,
. ,
, — , ,
, My Documents. , .
, . ,
,.
My Documents. ,
,
Start Menu
Desktop . Write (
, Read (
)
,
,
,
), . Active Directory Windows Server 2003: Application Data,
Desktop, My Documents
Start Menu User Configuration ( Windows), - Folder Redirection (
( ,
My Documents , Folder Redirection ( ), Properties ( ). Properties . Not Configured (He ), . . , , . • Basic - Redirect Everyone's Folder To The Same Location ( ). , . ,
),
- Windows Settings ).
. My Documents , Target ( )( . . 13-3). Setting ( . , ,
)
, \ \servernam \sharenam . Advanced - Specify Locations For Various User Groups ( ). , Directory
.
Active
, .
. 13-3.
С
Advanced
.
.
,
, ,
.
Advanced,
, , .
, . , .
•
•
•
,
. Redirect To The User's Home Directory ( ). My Documents ( ) , . , , . My Documents. Create a Folder For Each User Under The Root Path ( ). . , . %username %. Redirect To The Following Location ( .
.
,
).
UNC-
.
%username %
. .
,
Start ,
.
Menu
• Redirect To The Local Userprofile Location ( ). ,
. . .
,
Settings
Properties
(
.
. 13-4).
: | Seteti tf* jedffectioA w^ngi!« Hy Docum&'iti
G? ЈJove ibe contenti cJ My госшчгт(1 it tt'* new рсайал ...' .FoJb&Rwiavuf
:
Rtfdiretf rh? iotrJef bscfc to &e- loca} tJicfpfoEle toctfwn wbw ?jfcy в removed -Ld _______ ...................................
:
j
-'"l ;
„.
-Mj-FicUittPrateienee*-■ ': ■. Јo hot speerfy
ffAnirrstrativ* рэбсу fur My Ppcfcnrt
. 13-4. К
•
•
•
•
Settings ( Grant The
ч
) User Exclusive Rights To ). . .
.
foldername ( Administrator (
) , .
Move The Contents Of foldername To The New Location ( ). . , . Policy Removal ( ). . The New Location When Policy Is Removed ( ), , . To The Local Userprof ile Location When Policy Is Removed (
Leave The Folder In , Redirect The Folder Back , .
,
My Pictures Preferences (
я
, ,
My Documents. ,
) My Pictures). My Pictures My Documents,
, .
,
.
, .
, ).
Desktop ( ,
,
.
,
, ,
, .
My Documents
, , ,
My Documents, ,
. .
,
. ,
,
. .
, Windows 2000, , . Professional. My Documents,
(
,
Windows XP
,
Make Available Offline , ,
Windows 2000, ). , ,
,
.
. . . ,
, ,
-
.
онфигурирование политики безопасности на уровне домена Account Policies ( ), iguration\ Windows Settings\Security Settings, : Password Policy ( ) Kerberos Policy ( Kerberos Policy, Professional
, Windows Server 2003.
Computer Conf ,
. Account Policies ), Account Lockout Policy ( Kerberos) ( . . 13-5). , , , . Kerberos Policy Windows 2000, Windows XP
ис. 13-5.
, .
13-3
.
. 13-3.
Enforce Password History ( )
24 ,
-
, ;
0 .
. : 0 24 Maximum Password Age , 42 .( ) , . , :
0. 999
0
Minimum Password Age ( )
,
1 -
,
; 0 .
. , 0. :
0
998 Minimum Password Length ( )
7 ,
-
. ,
;
0
0. :
.
0
14 Passwords Must Meet Complexity Requirements (
: ,
-
-
. -
)
.
, 6 ,
,
: , , 0 (
10, !, $,#)
Store Password Using Reversible Encryption ( ,
. , .
) , .
, 13-4
.
.
. 13-4.
Account Duration (
Lockout
,
.
. 1,
) .
30 ,
, 0.
,
.
,
, Reset Account Lockout Counter After. : 0 99999 Account Threshold
Lockout ( , ,
)
00
.
.
, :
0
Reset Account Lockout Counter After ( )
. 999 ,
, .
0. , Account 99999
, , 30 , Lockout
Duration. : 1
, 1 .
Kerberos Kerberos Granting Ticket (TGT), 13-5 . 13-5.
Kerberos Ticket.
.
Kerberos
Enforce User Restrictions (
Logon
,
. (Key Distribu tion Center - KDC) User
Rights
(
)
)
Maximum Lifetime For Service Ticket (
, 600
(10
. : 10,
,
) Maximum Lifetime For User Ticket, 99999. 0 , , Maximum Lifetime For User Ticket З 1, a Maximum Lifetime For User Ticket Renewal 23 Maximum Lifetime For , 10 User Ticket ( TGT. , TGT. 99999.
)
: 0
.
0
,
, Maximum Lifetime For User Ticket Renewal Not Defined Maximum Lifetime For User Ticket Renewal ( ,
,
7
.
TGT .
0
,
) Maximum Tolerance For Computer Clock Synchronization ( )
5 , Kerberos.
,
.
).
Domain Security Policy ( )
. .
OU,
,
.
OU, OU.
, OU, .
, ,
.
онфигурирование других параметров безопасности . Account Policies, Computer Conf iguration\Windows Settings\Security Settings. User Configuration\Windows Settings\Security Settings. Security Settings ( .
13-6
, ),
. 13-6.
13-6
,
Security Settings
. , .
,
,
,-
,
GPO
Directory.
Active
,
GPO, .
,
. .
, , .
, ,
.
. 13-6.
Local Policy
Е
Policies\Audit (
. ,
)
,
, ,
. Local Rights ( Е
Policies\User Assignment -
, . ,
)
, ,
,
. .
Local Policies\Security Options ( Е ) , , . . Event Log (
, . ,
, Microsoft .NET
) , . , , Restricted (
Groups )
.
, . Windows 2000
.
,
, , ,
, . System (
Services )
: .
Registry ( )
. , .
File System( )
. , .
Wireless Network (IEEE 802.11) Policies ( ) Public (
Key
, , .
Policies
,
).
. ,
Computer Configuration, User Configuration. User Configuration Enterprise (
, (Encrypting File System - EFS).
Trust ).
IP Security Policies On Active Directory (domainname) ( IP Active Directory) IPSec,
IP(IP
Security ,
-
IPSec). , .
. Software Restriction ( Security Settings Configuration.
) User Configuration, .
Computer
олитики ограничения программного обеспечения Active Directory Windows Server 2003 Active Directory Windows 2000 . %
, , . .
,
«
»,
.
. ,
,
,
-
.
, .
,
, , ,
.
,
, ,
.
, . , , • Hash rules (
-
).
. Unrestricted (He , -
. ,
-
. — Security Levels (
), ,
, )
.
,
-
-
,
•
.
.
Certificate rules (
).
,
,
. ,
, ,
•
,
Path rules (
. ).
,
,
,
.
, .
•
, %systemroot %),
( (
Registry path rules (
*.vbs). ). ,
,
. , ,
, , ,
. , New Path Rule ( .
,
)
. ,
•
.
Internet zone rules ( ,
). .
,
,
,
Trusted Sites (
),
,
,
Restricted Sites (
). ,
,
, .
, ,
,
, .
Computer Configuration\Windows Settings\Security Settings, User Configuration\Windows Settings\Security Settings. )
Active Directory
. Software Restrictions Policies ( New Software Restrictions Policy ( ( . . 13-7).
, ).
. 13-7.
Security Levels (
)
: Disallowed ( ,
.
Unrestricted (
).
)
, Unrestricted
Set As Default ( ,
). Disallowed
. Additional Rules (
)
. Additional Rules Browse ( ) -
, .
, ,
. , -
-
New Hash Rule. ,
-
.
,
(
.
. 13-8). Enforcement (
) , .
, ,
, ,
, Designated File
.
Types (
DLL.
) , . .
. 13-8.
-
Trusted Publishers ( ,
)
, .
, .
, .
аблоны защиты ,
,
Windows Server 2003. . , Microsoft .
.
, , , ,
.
,
,
,
,
,
.
,
,
, .
,
,
.
.
,
, ,
.
,
, .(
IPSec
.) .
,
,
GPO. .inf
. , ,
security (
Microsoft
. default (
), secure ( ) high %systemroot %\security\templates. Windows Server 2003 Windows XP Professional, Setup Security.inf. , . . , ,
).
,
. -
.
, .
,
. ,
,
. Windows XP Professional
Windows Server 2003 , ,
. .
, ,
.
,
•
. Microsoft Compatwsinf. Windows Server 2003
,
Windows Server 2003. . ,
Windows.
, ,
2003
-
Windows XP Professional. ,
, Windows Server .
, Power Users ( ,
), .
Users (
,
)
, Compatws.inf
. .
,
•
Securewsinf
•
. Hisecwsinf
Users . Securedcinf. , . NTLM, (Server Message Block - SMB). Securews.inf , Securedcinf ,
Hisecdc.inf. .
,
. Windows Server 2003, Windows 2000
, Windows XP,
,
•
, Hisecws.inf
. Hisecdc.inf -
, . ,
DC security.inf. Windows Server 2003
-
. ,
.
•
SID
Notssid.inf. Terminal Users ( DACL ,
)
«
. , , Windows Server 2003, .
Terminal Users.
•
Rootsec.inf. ,
. ,
. ,
, .
, Security Settings Import Policy ( %systemroot %\Security\Templates, . , . . . .
).
, ,
Windows Server 2003 Configuration And Analysis (
, -
.
),
Security
. . ,
Security Configuration And Analysis ,
, 13-9
.
. . Configure
Security Configuration And Analysis ). .
Computer Now (
. 13-9. Configuration And Analysis
Security
Security Configuration And Analysis . , . . Secedit
,
. ,
,
. Secedit
,
. ,
.
, , . Windows 2000 Server, Windows 2000 Windows Server 2003.
Professional, Windows XP Professional ,
700. .
,
,
,
,
13-7 . Windows Server 2003
Active Directory Windows 2000, . 13-7 Active Directory Windows Server 2003
Windows XP Professional.
150 ,
. 13-7.
Computer Conf iguration\ Administrative Templates\ System\Net Logon
, DNS .
Computer Configuration\ Administrative Templates\ System\Remote Assistance
Remote
Assistance
), Professional.
Computer Conf iguration\ Administrative Templates\ Windows Components\ Terminal Services
( Windows ,
Terminal .
User Conf iguration\ Administrative Templates\ Network\Network Connections
Services
, ,
U se r C on f ig ur ati on \ A d mi n ist rat iv e
.
Templates\Control Panel User Conf iguration\ Administrative Templates\ Windows Components\ Internet Explorer
. , Internet Explorer. 5.01
Internet Explorer . . http:// /winxpgpset.xls. . .
(
).
www.microsoft.com/windowsxp/prdytechinfo/administration/ policy Active Directory Windows Server 2003 — . Active Directory , , Administrative Templates Help ( ). 13-10 , System Windows NT , Active Directory Windows Server
2003. . . ,
, .
, , .
, Active Directory User Configuration, \Software\Policies
, ,
,
, .
, . , HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies.
, ,
Computer Configuration,
Y_LOCAL_MACHINE. , . , (
,
,
.
,
)
, Policies
.
,
,
,
.
. 13-10.
.adm. 13-8
%systemroot %\Inf . ,
Windows
Server 2003. . 13-8.
,
Windows Server 2003
.
System.adm Inetres.adm
Internet
Wmplayer.adm Explorer. Conf.adm Wuau.adm
Microsoft
Windows Media Player. Microsoft NetMeeting. Windows Update. , .
13-9
,
.adm ,
13-11. .
. 13-11.
System.adm
Sysvol, , . Registry.pol, %systemroot%\ SYSVOL\ sysvol\ domainname\ Policies\ GroupPolicyGUID\ Machine %systemroot%\ SYSVOL\ sysvol\ domainname\ Policies\ GroupPolicyGUID\ User . . 13-9.
Policy ( Keyname (
)
)
Supported (
)
, .
, . Windows XP Professional, Windows 2000 Windows 2000 , Microsoft Windows Media Player, 9. ) , . .adm. , . ) ,
Explain ( Part (
.
)
Valuename (^
. . ,
, .
,
. ,
, .
, ,
,
. .
,
, , . ,
, ,
.
, ,
, -
. . .
. Windows NT.
Active Directory Windows Server 2003 Windows NT 4,
.
•
. Active Directory .
Windows NT
. LocalSystem.
• Windows NT
.
.
Directory
Active
.
•
. Active Directory .
Windows NT . Active Directory,
•
,
. Windows Script Host. Windows NT MS-DOS . Windows Server 2003, Windows XP Windows 2000 Windows Script Host (WSH). WSH . WSH , . Active Directory Windows Server 2003 , . Windows NT Workstation, . Windows 2000 Windows XP Professional . , , «
»
,
. Active Directory,
, , . %systemroot %\SYSVOL\sysvol\ domainname\scripts. NETLOGON, , . %systemroot %\SYSVOL\ sysvol\domainname\GlobalPolicy GUID\Machine\Scripts %systemroot %\SYSVOL\sysvol\domainname\GlobalPolicy GUID\User\ Scripts. GPO Scripts (Startup/Shutdown) ( ( / ), Computer Conf iguration\ Windows Settings, Scripts (Logon/Logoff) ( ( / )), User Conf iguration\Windows Settings. , , Scripts (Startup/Shutdown) Startup. GPO. Active Directory Windows Server 2003 , . Computer Configuration\ Administrative Templates\System\Scripts, - nanKeUser Conf iguration\ Administrative Templates\System\Scripts. , .
, . .
, . .
. ,
. .
,
,
,
,
,
.
Active Directory Windows Server 2003
, . ,
,
. ,
,
, . , .
, .
асть IV. бслуживание Active Directory Windows Server 2003 I, II
III
, Microsoft Windows . Active Directory , Active Active Directory Active Directory. 15 Active Directory. Active Directory —
Active Directory Server 2003, .
14
Directory, . , ,
.
14. Directory
Active ,
Active Directory . ,
Active Directory ( ,
).
, Directory,
Active . Active Directory: Active Directory.
Active Directory Active Directory . , ,
,
.
Active Directory. , Directory,
Active
.
Active Directory
,
(
. .)
). . (
,
, ( -
, ,
, .)
, Microsoft Windows Server 2003. Active Directory
, , , .
Active Directory, ,
, .
,
,
, ,
. , ,
. ,
Directory,
,
,
Active
,
.
очему следует проводить мониторинг Active Directory? Active Directory
,
, . (service-level agreement - SLA) ( « » Active Directory, , , . SLA , , . Active Directory (IT ) , .
). . (
)
SLA ,
, ,
,
10000 Active Directory
Active Directory. , Active (GC) , ? , .
. Directory
? ?
, ,
, ,
Active Directory ,
Active Directory, .
• • •
SLA«
»
, Active Directory .
,
.
.
• Active Directory, .
•
IT.
Active Directory Active Directory
.
,
•
-
•
.
, . ,
, ,
•
«
» Active Directory
. .
-
•
, ,
.
,
, Microsoft MOM
Operations
Manager
(MOM).
, Windows Server 2003, . . ,
, , .
. ,
Windows Server 2003. . MOM
,
,
.
,
,
(
),
, ,
, .
,
.
MOM
,
, . Base Management Pack Windows Server 12003, Active Directory, (DNS) Microsoft Internet Information Services (IIS). Application Management Pack Microsoft .NET Enterprise Servers, Microsoft Exchange 2000 Server Microsoft SQL Server 2000. MOM http://www.microsoft.com/mom.
ак осуществлять мониторинг Active Directory Active Directory, , . ,
,
(
)
. ,
« Active Directory 1. ( 2.
. .
» . ,
. SLA-
.) , .
3.
. ( ,
,
,
.) 4.
, . • • •
:
; ,
;
,
.
5.
,
«
Active Directory. 6.
, «
, » Active Directory. .
»
«
».
,
, .
,
. ,
,
.
, , .
, ,
,
, . -
,
.
, .
,
,
,
.
С
Active Directory (
.
, ),
. Active Directory,
.
-
.
, .
, Microsoft,
, .
,
,
, . . (
,
Microsoft,
.)
. , .
,
,
,
Active Directory. , Active Directory,
Microsoft.
, ,
. ,
. Active Directory. . ( ( )
Active Directory ( . . 14-1) , )> .
П mance( ,
,
Start ( ), ,
) >Administrative Tools Add .
. 14-1.
NTDS
Active Directory
15
DS Search sub-
. operations/sec (DS /
)
.
,
.
NTDS
% Processor Time(Instance=ls ass) (% ) LDAP Searches/ sec (LDAP / )
, Active Directory. 15 . . , , .
NTDS
LDAP Client Sessions (LDAP
5
, . ,
)
, . , , , .
Private Bytes (Instance=lsass) ( )
15
, .
( ) , . , ,
, , .
Handle Count (Instance=lsass) )
15 , . .
Virtual Bytes (Instance=lsass) ( )
15
, Active Directory , .
, (service pack), , . , 2.
NTDS
, DRA ( .
. 14-2.
. 14-2) ,
. . ,
.
,
Inbound Bytes Compressed 15 (DRA ) ( / ) NTDS DRA
, , Active Directory.
Outbound
-
Bytes Compressed 15 (DRA ) ( / ) NTDS
DRA Outbound Bytes Not 15 Compressed ( DRA )
,
. , Active Directory. -
, ,
.
NTDS
-
DRA Outbound Bytes Total/sec 15 (
, .
DRA )
/
, Active Directory.
, .
(
.
. 14-3)
,
.
, . 14-3.
NTDS
.
,
15
NTLM Authentications (NTLM
, -
)
(
,
NTLM Kerberos , Windows 2000,
, ).
NTDS
KDC AS Requests ( KDC AS)
15
, (KDC). .
NTDS
NTDS
Kerberos Authentications ( Kerberos)
15
KDC Requests ( KDC TGS)
15
TGS
, , KDC. . TGT KDC. .
( ,
.
. 14-4)
, Active Directory.
,
. 14-4.
Memory Page Faults/ sec ( ) ( )
5
700/
/ .
Physical Disk ( )
Current DiskQueue Ntds.dit
«length (
.log.
, /
)
. .
Processor ( )
% DPC Time (Instance=_Total) (% DPC)
15 10
,
. .
System Processor Queue ( ) Length (
, .
)
, , .
Memory Available MBytes ( ) ( )
15
4
, . .
Processor ( )
% Processor Time (Instance=_Total) (% )
85 % . , Active Directory, Process, % Processor Time, Isass instance.
System Context Switches/sec ( ) ( / )
15
70000 .
, ,
. .
System System Up Time ( ) ( )
15
, .
,
. Directory Services Guide
Microsoft , . Microsoft Windows Server 2003 Resource Kit. http://
www.microsoft.com/windowsserver2003/techinfo/reskit/reso urcekit.mspx.
Performance,
, . Windows Server 2003,
,
. . Active Directory Installation Wizard Active Directory, NTDS Performance, . Э , GC. Active Directory ESENT (Ntds.dit) Active Directory. . , Active Directory, Install Active Directory Database Performance Counters ( Active Directory) Microsoft http://www.microsoft.com/technet/treeview/defa ult.asp? url —/technet/scriptcenter /monitor/ScrMonO8.asp. , .vbs, ESENT. Kerberos ( 20) , .
1.
Performance ( ) Administrative Tools ( ). Performance Logs And Alerts ( ), Alerts ( ). Action ( ) New Alert Settings ( ). Name ( ) , Performance Logs And Alerts, , . General ( ) , ADD ( ), Performance ( . . 14-1).
2. 3. 4. . 5.
. 14-1.
6.
, (
. . 14-2).
.
. 14-2.
7.
Action (
)
,
,
.
, ,
(
).
Action
,
(
.
Schedule
, . 14-3): ;
• •
. IP-
;
; . . 14-3. ,
, Actions, . ,
,
,
, . (
)
, .
,
, .
Directory.
-
Active Directory, Active Directory».
«
»
System Monitor ( Performance.
Active «
) ,
.
, Performance Logs And Alerts. . ,
. Memory\Pages/sec ( Е / ). PhysicalDisk (_Total)\Avg. Disk Queue Length ( ). Processor (_Total)\%Processor Time ( (_Tot 1)\ . ( ).
• • • .
« « ).
»
(__ ot 1)\ ). ,
/
»
.
(
14-4
. . ,
,
,
Highlight (
.
)
,
,
,
. ,
, ,
. HTML-
.
, Save As (
).
HTML,
. HTML-
,
.
,
Freeze Display,
Performance
.
, HTML System Monitor.
. Windows Server 2003 , ,
. 14-4. : Performance Log Users (
, ,
)
Performance Monitor Users (
,
). ,
. Add
,
1. Counters ( 2.
). Add Counters ), .
Use Local Computer Counters ( ,
, (
,
Select Counters From Computer IP. ,
) Performance,
3. .
, ,
.
4. 5.
Active Directory
Event Viewer Performance
Active Directory ,
Event Viewer (
). .
Add (
),
Close (
).
• • •
Application
log
(
).
System log ( , Security
,
. ). ,
,
(
log
,
. ).
,
Windows. , Windows Server 2003, • Directory Service log (
•
•
, . ).
File Replication Service log ( ,
Active Directory. ) . Windows Server 2003 . DNS).
DNS Server log ( DNS.
,
DNS, , Event Viewer
Administrative Tools. ,
,
.
14-5 Windows Server 2003,
DNS.
. 14-5.
(
Event Viewer
Errors ( ). . 14-6 File Replication Service (
)
, Warnings (ID-
Warnings 13562)
).
то следует отслеживать «
, , ,
» Active Directory , Active Directory .
, ,
, .
.
. 14-6.
Event Properties (
Active
)
Directory. .
Active Directory. NTDS
« « «
Performance. Active Directory. , Active Directory Ntds.dit .log, , DNS « » . DNS , DNS , Active Directory . (File Replication Service - FRS). , , . » . , , . » . , . . FSMO, » . , , . Active Directory,
. Performance Monitor,
FRS (Sysvol)
,
GC-
,,
Windows Server 2003 Support Tools ( Windows Server 2003): Repadmin.exe, Dcdiag.exe ( . ). Repadmin , . DC1,
. Active Directory
Contoso.com:
repadmin/showreps dd .contoso.com
Dcdiag -
,
DNS(SID)
. (naming
context)
, .
Dcdiag
dcdiag/?. : dcdiag/test: replications
,
,
, . ,
(
Error (
)
).
Warning ,
.
•
, Active Directory), , (bridgehead)
ID 1311. Active Directory Sites And Services ( . ID 1265 (Access denied — ,
•
, (NC).
). ,
, , , .
Active Directory Active Directory Active Directory. Active Directory « »
, . Active Directory, . , Active Directory, Windows Server 2003
, Ntdsutil.
борка мусора , Active Directory, —
. 12
. Active Directory. ,
isDeleted (USN)
: SID, -
(tombstone) Active Directory. . , , (GUID), . -
. ,
-
. 60
.
-
, ,
.
.
true, .
,
, ,
-
Active Directory,
.
.
-
, .
.
,
garbageCollPeriod (NTDS). , Adsiedit.msc. ADSI Edit ( ADSI) Run ( ) CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=f orestname. garbageCollPeriod , . 1 . 14-7 ADSI Edit. DS
. 14-7.
garbageCollPeriod
ADSI Edit
нлайновая дефрагментация — Active Directory. Active Directory
,
. , Active Directory ,
Active Directory . , Active
, .
Directory . . ,
,
.
Active Directory,
, ,
. -
.
,
,
.
,
, . ,
Active Directory. Active Directory, , .
. 12
.
,
,
,
,
.
14-8
. ;
: ::
■. фе:. ,; 1/.4/2003
%wsctr
*i
NT DS ISAM
%[ Qe'scEpMcn. в5.14б9] MTOSA '.inline вдпег & пзт completed a hJ pass Oft ^«beFba^B^VWfNOO WЈ \N T D S'Mildj.*'. Ft^priofe jrifofba&ctf, tee Help arnl Support t*rtto «
.
14-8.
,
втономная дефрагментация базы данных Active Directory , Active Directory. ,
, Active Directory.
-
, .
,
GC, GC.
,
, , ,
,
, GC , Active Directory
. 1.
. ( .
.
15). 2. . Services Restore ( Windows). , 3. , , ntdsutil. Directory 7.
F8, Directory
Windows. ) ( Administrator ( . Ntdsutil File Maintenance (
).
files. )
. compact to drive:\directory.
info. Active
, .
,
. Ntds.dit
8. . . , . 10.
9. Ntds.dit
quit, Ntds.dit
Active Directory. 11.
. ,
. Active Directory,
.
правление базой данных Active Directory с помощью утилиты Ntdsutil Ntdsutil Active Directory Ntdsutil
,
Active Directory. ,
Active Directory. , . . Active Directory,
, .
.
, .
,
Ntdsutil. 15
.
,
Active
Directory. ,
.
1.
. Ntdsutil.
2. 3. 4.
ntdsutil. files. recover.
Ntdsutil File Maintenance ,
,
. ,
,
.
,
(
)
.
-
. ,
integrity
. File Maintenance
Ntdsutil. ,
. Active Directory. ,
GUID, .
SID ,
. 1. 2. 3.
ntdsutil. Ntdsutil semantic database analysis. Semantic Checker ( ) verbose on. Ntdsutil . 4. Semantic Checker go. . Active Directory Windows 2000, , , , Windows 2000 Repair ( ). Э , Active Directory, Windows Server 2003.
,
Ntdsutil
Active Directory . ,
, .
,
,
,
. ,
,
.
1. 2. 3.
ntdsutil. files.
Ntdsutil , info.
,
Ntdsutil
. 4.
, move db to director,
File Maintenance .
dir ctor
, 5.
. File Maintenance
, move logs to directory.
, Active Directory
«
»
,
.
, « ,
» .
Active Directory , . ,
,
Active Directory
. , . , Directory
-
, .
Active
15. Active Directory — .
, Active Directory
,
,
.
Microsoft Windows Server 2003
-
Active Directory,
. , .
Active Directory Windows Server 2003
Active Directory . Active Directory. Active Directory .
Active Directory. . ,
Active Directory. Windows Server 2003. .
Active Directory,
, .
, ,
. ,
, Active Directory
.
.
• . . .
•
Active Directory. ,
Active Directory .
. -
, . Active Directory , Directory
, ,
. Active
.
•
Active Directory .
. ,
, . ,
,
-
. ,
Ethernet , . Active Directory
•
,
, (circular)
,
, .
, Active Directory
,
. .
, ,
DNS,
. .
Active Directory . 2,
Active Directory %systemroot %\NTDS.
Ntds.dit,
.
•
Edb.chk -
• •
Edb.log Edbxxxxx.log.
,
, Active Directory. . Active Directory ,
- 10 ,
.
,
,
. ;
,
,
, Edb.log. ,
, Active Directory.
, 10
•
Edbtemp.log , (Edb.log). , Edb.log . Edbtemp.log Resl.log Res2.log —
•
. , Edbtemp.log, Edb.log.
,
, .
,
, ,
Active Directory, , 10 . Microsoft Exchange Server, Active Directory ,
, Active Directory.
С
-
. . Exchange Server 4
Active Directory . (OU)
OU,
. Active Directory , , OU. ,
. .
,
. , , , , Windows Server 2003
. Active Directory ),
,
,
-
(
, .
, , .
, .
, ,
, Active Directory
).
(
.
, Active Directory. ,
,
. ,
,
,
. , , .
,
,
Active Directory,
,
,
.
, .
,
,
. . .
, ,
. ,
,
,
,
. . .
Э
, . Active Directory Windows Server 2003 ,
(circular) . ,
,
. . , .
,
Active Directory
,
17:00, . ,
Active Directory.
, ,
,
,
. , ,
,
. , ,
,
,
.
Active Directory Active Directory Active Directory.
,
Active Directory .
:
• • • • •
Active Directory
; ,
Windows; ;
DNS, Sysvol;
Active Directory;
• •
+;
( );
• •
;
-
Microsoft (IIS) (
IIS
). .
-
,
, Active Directory, ) Active Directory ( .
)
( ,
,
. (backup) ,
,
. .
,
, System State (
, .
) Administrators ( )
. Backup Operators (
)
. ?
, .
,
,
. , ,
. ,
,
,
. . ,
-
.
Active Directory , , Active Directory
. 60
. -
.
,
-
, .
,
-
-
. -
-
. .
, -
,
,
,
,
. 60 60
, ,
,
, ,
-
,
-
. ,
,
.
, . , ,
,
,
, 60
,
-
.
.
, ,
,
.
Active Directory
, . ,
,
,
,
.
-
,
, .
, .
.
Active Directory ,
Active Directory. , ,
, , -
.
,
OU,
.
,
. Active Directory, , Active Directory ,
, , Server 2003,
. , Windows
. ,
Active Directory
. Active Directory . (nonauthoritative). Active Directory Active Directory
,
, ,
. Active Directory,
-
,
.
Directory
Active
,
,
. (authoritative),
, ,
.
осстановление Active Directory путем создания нового контроллера домена Active Directory .
, 2003
, Active Directory 2003, . Active Directory
,
Windows Server Active Directory . .
• -
.
,
, Active Directory
.
• , . Active Directory, , Active Directory
. ( , ,
.
100
),
(WAN), .
•
. Windows Server 2003 ,
Active Directory
, ,
.
, ,
. ,
. .
,
,
Windows
(
)
Server 2003 , Last Known Good Configuration Safe Mode ( ).
, ,
. , Windows Server 2003 (
, )
. . (GC) , GC-
,
. .
, Windows Server 2003 Active Directory . , , WAN. , .
,
,
Active Directory , DNS. , .
, .
, Windows 2000, Server 2003 /
Windows XP Professional
Windows
.
ntdsutil. Ntdsutil metadata cleanup. Metadata Cleanup ( -
)
connections.
. Server Connections ( ( . Active Directory,
servername), ,
» , help Server Connections, — connect to server %s ( , DNS, IPServer Connections quit, select operation target (
) connect to server servername servername . set creds domain username password,
«
. , %s). .
%s . Metadata Cleanup.
).
, Select Operation Target
, list domains (
. ).
select domain number (
. number , help , -select domain %d . . ,
), . ,
select domain number, %d). %d list sites ( ). select site number ( , list servers in site ( ,
(
number,
), . ). . ,
*
.
,
(
.
, select server Ntdsutil
. 15-1.)
select operation target: 1 Pound 2 server 0 - CN=DCl^CN=SerueT*sJCN=Contuso-SiteIPCN=Sites,CM=Cofifiguration,DC=Contoso,DC^c on 1 - 0M^I>C3^CN^Eerueira,CK=Conto3o-Sitei,CH^Sites,CH=Confiyuratiun.DC-Contuuu.DC-u on select operation target: select server 1 Sits - CH-Contoso-Sitei,CHDGites,CN-Configurntion^DC-Gontoso,DC-con Dnnain - DCM^ontoso^C^coin Server - CN-DC3,CN=Seruers ,CN=Contoso-Sitel,C*(-SitflS,CW=Cont iguration„DC=Gontoso ,DC- on
object - CN^NTDS Settings,CH=DC3,CN=Јeroers,CK=Contoso-Јitei,CN-=Site s,CH=Conf iyuration^DOCutitoso^DC^coiTi DNS host name - ric3.Contoso.con
Conuuter abject - CN=DC3,0H=Vamain Contra Hers,DC^Cantoao^DC^cOfl Ho current Naming Content select operation target:
. 15-1.
,
Ntdsutil
quit. Metadata Cleanup. remove selected server ( ). . Yes ( ). Ntdsutil, quit .
, ,
Ntdsutil 14 Active Directory. Ntdsutil -
Ntdsutil , Active Directory .
,
. Ntdsutil
Ntdsutil, Ntdsutil. , .
ntdsutil.
help .
, 15-2
, ,
Ntdsutil. Show this help information Authoritatively restore the DJT database Manage ctrnfigurable settings Prepare for neu domain creation Manage NTDS database Files , Show this help information Manage LDUP protocol policies Clean up objects at decomnissioned &&vv&r-Ј able popups uith "on" or "off4' Quit the u t i l i t y Manage NTDS role owner tokens Manage Security Account Database - Duplicate SI Semantic Checker Reset directory service restore node admin1stra
FtatJioritatiue restore Configurable Settings Dome) i man a gene t
Files Help LDAP policies Hetadata cleanup Popups xs Quit Roles
Security account nanagenent D Cleanup Semantic riatabase analysis Set DSP.M Password tor account password
. 15-2.
,
Ntdsutil
Ntdsuti Active Directory. Help And Support Center.
Ntdsutil Ntdsutil .
,
DNS-
DNS,
DNS,
GC-
(PDC). (
, .)
DNS,
DNS
. .
Active Directory Users And Computers ( Active Directory) , , OU Domain Controllers ( ). Active Directory Sites And Services ( Active Directory) , Servers ( ) , .
,
ыполнение неофициального восстановления Active Directory . . . •
. ,
,
Active Directory. .
•
. , . , .
-
, . . ,
: Active Directory , Windows Server 2003,
. , , Active Directory
, ,
100
.
,
,
, . .
,
, ,
. Active Directory, .
,
Directory,
Active Active Directory ,
. ,
. , ,
, Windows Server 2003
. , . , .
,
, ,
Windows Server 2003 , (hardware
abstraction layer - HAL),
.
, , ,
, . Windows Server 2003 . . Windows Server 2003, ,
.
Windows Server 2003 (Automated System Recovery - ASR). . ASR, . . Backup ASR. , . , ASR. Active Directory ,
ASR, , .
. , ,
.
. ,
Windows Server 2003.
. F8, Windows).
1. Menu (
Windows Advanced Options
2. Directory Services Restore Mode (Windows Domain Controllers Only) ( Windows)). , Active Directory. 3. , . 4. , Administrator Directory Services Restore ( ), Active Directory. 5. , System State ( ) . 6. . 7. , , . . Active Directory . Э Active Directory . . Ntdsutil.
ыполнение восстановления с полномочиями .
,
,
, OU,
, ,
, ,
,
OU
-
. OU Active Directory Users And Computers,
. , OU
.
,
Active Directory,
,
, . (USN) .
,
,
USN
100000, . . . , . ,
(
, , OU), OU
. .
-
. ,
,
, ,
-
,
,
,
-
. ,
. ,
.
,
. , , .
,
,
.
.
, . ,
,
,
. ,
,
.
USN ,
USN,
. ,
,
, , . .
, Windows XP Professional
. . Microsoft Windows NT, Windows 2000, , . . , .
Windows Server 2003, .
,
-
,
Active Directory
NTLM
. Windows NT
, .
, , .
, NetDom
,
. .
,
,
. . ,
,
.
, .
,
.
.
, OU,
-
, OU,
,
.
,
.
1.
; ,
. ntdsutil. Ntdsutil authoritative restore ( ). Authoritative Restore restore subtree objectname ( objectname). , OU Managers NWTraders.com, restore subtree ou=managers ou,dc~nwtraders,dc=com. , ( , restore subtree en—managerl,ou—managers ou, dc—nwtraders,dc=com) . 5. , restore database ( ) Authoritative Restore. 6. Ntdsutil . . Active Directory, . , , . USN 100000. . 2. 3. 4.
осстановление информации Sysvol Active Directory, Sysvol ,
. , , .
Sysvol
,
Active Directory. Sysvol , . .
, Sysvol .
,
,
, ,
,
Sysvol
. (File Replication Service - FRS),
Active Directory. , ,
Sysvol. Sysvol,
,
,
.
, ,
, ,
.
,
. ,
(primary)
Sysvol.
Windows Server
2003
, ,
. Advanced Restore Options ( ) When Restoring Replicated Data Sets, Mark The Restored Data As The Primary Data For All Replicas ( ) ( . . 15-3). Sysvol , Sysvol.
осстановление хозяев операций и серверов глобального каталога -
. , . . 15-3.
Sysvol
,
.
,
,
,
.
,
. ,
,
. , .
, , .
. , ,
,
.
,
, .
, ,
,
, .
, .
, -
. -
,
, . .
,
,
,
,
,
.
,
, PDC.
, PDC
,
,
15
.
, . , .
,
,
. ,
,
, ,
. , repadmin/
, ,
showvector namingcontext,
. , Active Directory Users And Computers ( ). RID, Ntdsutil.
Ntdsutil PDC Ntdsutil,
. 1. 2. 3.
ntdsutil. Ntdsui^l roles ( ). Fsmo Maintenance ( Fsmo) connections ( ). 4. Server Connections ( ) connect to server servername.domainname ( servername.domainname), servername , . quit ( ). 5. Fsmo Maintenance seize operations_master_role ( ). operations_master_role — , : schema master ( ), domain naming master ( ), infrastructure master ( ), RID-master ( RID) PDC. 6. . . , , . 15-4 RID. '~^*1\Ф№0Ш $ь*№ШЖ*Ш&*:>'^ ; № -" ! i " i - ; ; - M . J /■■., ^■;-r^:v^.;;xZ^:K':^l7%^'JiFsno maintenance: seize rid naster ^ttenpting safe transfer of RID FSMO before seizure* ldap_modif3J_slf error 0x34(52 (Lfnavaikble>» Ldap extended error message is 0000Z0fiF: SocErr: n^*0-03210710, problem 5002
depending on the error code this nay indicate a connection* Ldap, or role transfer error. rransfep nf 111 FSMO failed, proceeding with seizure ... inarching Fur highest rid1 pool in domain Jeruer "dcl-nutraders.coft' knows about 5 roles Jchena - CN-NTDS Settings,CN^DCi^CK-Servers,CN-Default-First-Site-Nane,CH=Sites, JH i" igurat ion, DC =nwt ratters, DC=con Domain - CN=NTDS Settings,CK=DCi,CH=Seruers,CK=DefauIt^First-SIte-HaHe,CK=Sites, CN=Conf igurat ion,DCan«traders,DC=com PDC - CN-NTDS Settings,CH=DC3,CH-ServerEFCH='DeFault-First^Site-Naiie,CH=Sites,CH11 Conf iguration,DC=nutradars,DC^com RID - CH=NTDS Settings,CH=DCl,CH-Seruers,CM=Default-Firat-Site-Hane,CN^Sltes>CM^ So n f igurat io ■ ■,DC"flirt radars,DC ~c n Infrastructure - CN=NTDS Settings,GH=DG3rCM=Serve.'s,CH=l>efauU-First-Site-Hamel,C
. 15-4.
Ntdsutil
quit (
7.
)
RID
,
Ntdsutil.
PDC Active Directory Users And Computers. Active Directory Users And Computers Connect To Domain Controller ( ), , ,
. Operations Masters ( (
). . 15-5).
.
, ,
. , . .
PDC
,
. 15-5.
Ntdsutil,
.
, Active Directory Users And Computers
PDC PDC . Windows 2000 mixed ( (primary) Windows NT (BDC).
,
, Windows Server 2003 interim (
)
),
PDC BDC.
,
Windows
NT, Windows 95 Windows 98 ( PDC,
) . Windows 2000 native (
,
PDC
, )
PDC
.
-
PDC .
PDC
,
,
. ,
. PDC
, PDC PDC
, ,
, Windows NT.
Windows NT, PDC-KOHWindows Server 2003.
,
PDC PDC
. PDC
,
. , PDC PDC
. ,
. Windows Server 2003, .
, .
,
, . , .
, .
,
, ,
,
.
, , ,
. -
PDC
Ntdsutil. .
С
,
.
PDC ,
.
,
,
, . ,
,
, .
,
.
, ,
. —
,
.
. , .
, ,
.
,
, , ,
,
. . ,
,
,
. ,
.
,
,
,
. ,
,
-
,
,
,
,
,
(
, ,
). ,
,
,
.
-
. ,
. ,
, .
-
,
-
. ,
-
, GC-
,
.
.
RID RID -
,
RID.
RID
, RID, .
, RID, RID
RID
RID ,
512
RID. RID.
, ,
RID .
RID. ,
RID
RID
,
. ,
RID
,
,
,
. ,
RID, -
.
RID,
,
.
RID,
-
RID (SID).
GC(GC) ,
,
.
,
,
,
GC,
.
GC-
,
, GCActive Directory, GC-
. , .
GC,
Windows 2000 native ( (UPN). GC-
) ,
Microsoft Exchange Server 2000. GC,
.
, Exchange Server 2000,
GC-
,
,
GC-
,
,
,
.
Active Directory Server 2003
.
—
,
. , . Active Directory,
Active Directory. Active Directory ,
. .
-
,
Windows