Установка контроллера домена в Windows Server 2003
Сергей «grinder» Яремчук (grinder@ua.fm, )
Небольшие компании имеют тенденцию к росту: сначала это небольшая комната с одним двумя компьютерами, затем офис занимает уже целый этаж, здание, появляются удаленные филиалы. Увеличивается и количество компьютеров. Постепенно администрировать сеть организации становится все труднее и труднее. Ведь изначально все компьютеры входят в состав рабочих групп, где каждый участник равен. Выход один — переход к доменной структуре, что позволит централизованно администрировать все ресурсы. Один из этапов которой — установка и настройка контроллера домена.
Содержание:
- Установка контроллера домена
- Создание пользователей в глобальном каталоге Active Directory
- Редактирование свойств учетной записи
- Подключение компьютеров
- Действия над группами
- Общий доступ к папкам
- Блок-врезка: Преимущества AD по сравнению с одноранговой сетью
Для упрощения будем считать, что уже имеется компьютер с установленной Windows Server 2003, который и будет выполнять роль контролера домена (КД). Системные требования зависят от количества пользователей. Так для 20-30 пользователей вполне подойдет простенький компьютер вроде Celeron 633 с 256 ОЗУ и жестким диском на 10 Гб. Хотя, учитывая важность КД, ведь он хранит все данные каталога и управляет взаимодействием между пользователями и доменом, весьма желательно наличие второго КД.
Для работы Active Directory понадобится наличие сервера DNS, поддерживающего протокол динамического обновления и ресурсные записи Service Location. Без него функции контроллера домена (вход в домен, репликация службы каталогов и т.д.) будут не доступны. Если такого сервера пока нет, его можно установить по ходу создания КД. Естественно, что для проведения всех операций понадобятся права локального администратора, который по окончанию процесса станет уже администратором домена.
Для установки контроллера домена необходимо воспользоваться Мастером Установки Active Directory (Пуск — Выполнить — dcpromo). В первых окнах мастера будет дана некоторая информация и ссылка на справочные страницы. Так как это новый домен, то на странице «Тип контроллера домена» выбираем «Контроллер домена в новом домене». Второй вариант «Добавочный контроллер домена в существующем домене» следует выбирать, когда уже имеется один контроллер домена и планируется добавить дополнительный контроллер для увеличения доступности и надежности сетевых служб. В следующем окне «Создать новый домен», в зависимости от ситуации, необходимо остановиться на одном из трех вариантов:
- Новый домен в новом лесу – при создании первого (родительского) или независимого домена;
- Новый дочерний домен в существующем доменном дереве – если требуется создать новый дочерний домен для уже существующего домена;
- Новое доменное дерево в существующем лесу – для создания нового доменного дерева, которое не будет дочерним к уже существующим.
Так как ничего пока нет, то выбираем первый пункт и движемся дальше. На странице «Новое имя домена» необходимо ввести полное (FQDN) DNS-имя для создаваемого нового домена леса Active Directory (например, example.com). При этом не рекомендуется применять одиночное имя домена вроде example. На следующей странице проверяем NetBIOS-имя, которое будет использовано для идентификации нового домена пользователями предыдущих версий Windows. Это имя по возможности должно совпадать с первой меткой DNS-имени домена, что и будет установлено по умолчанию. Чтобы не перестраивать все такие системы, можно оставить старое название, применявшееся до перехода на Active Directory.
Переходим на страницу «Папки базы данных и журналов», здесь необходимо ввести путь к каталогу, в котором располагаются папки базы данных и журналов. Рекомендуется для лучшей производительности журнал и базу данных размещать на разных дисках.
Аналогично поступаем в окне «Общий доступ к системному тому», где указываем на раздел, в который следует установить папку SYSVOL. Этот раздел должен обязательно быть отформатирован под файловую систему NTFS 5.0, здесь будут находиться файлы, реплицируемые между контроллерами домена в домене или лесе.
На следующем шаге «Диагностика регистрации DNS» проверяется работа DNS-сервера. Если таковой обнаружить не удается, то администратору будет предложено:
- решить проблему и повторить диагностический тест;
- установить и настроить DNS-сервер на локальном компьютере, тогда сервер будет выбран в качестве предпочитаемого, другие компьютеры также могут использовать этот DNS-сервер;
- пропустить шаг и решить проблему позже.
Если DNS-сервера еще нет, то выбираем второй вариант и переходим к странице «Разрешения», на которой выбираются разрешения, устанавливаемые по умолчанию для объектов, являющихся пользователями или группами. Эти параметры влияют на совместимость приложений с компьютерами, работающими под управлением операционных систем, предшествующих Windows 2000. Возможны два варианта совместимости приложений с операционными системами: пред- Windows 2000 или Windows 2000/2003. Если особых предпочтений нет, следует остановиться на втором варианте. На странице «Пароль администратора для режима восстановления» вводим пароль, который понадобится для восстановления резервной копии состояния системы данного контроллера домена в режиме восстановления Active Directory. И, наконец, в «Сводка» проверяем сведения по установке, после чего последует собственно процесс установки Active Directory и создание контроллера домена, а также инсталляция DNS-сервера, если эта процедура была разрешена. По окончании потребуется перезагрузка, чтобы изменения вступили в силу.
Рис. 1. Выбор типа контроллера домена
Создание пользователей в глобальном каталоге Active Directory
Контроллер домена создан, и после перезагрузки потребуется уже ввести не только имя пользователя и пароль, но и выбрать домен, доступ к которому планируется осуществить.
Для дальнейшей работы необходимо создать пользователей, это придется делать вручную. Если пользователей не много, то можно ограничиться стандартной группой Users, в большинстве же случаев лучше сразу их систематизировать, чтобы упростить себе работу в последующем. Для этих целей будем использовать возможность создания подгрупп домена – организационных подразделений (ОП), представляющих собой логические контейнеры, размещающие учетные записи, общие ресурсы и другие ОП.
Для администрирования Active Directory в Windows 2003 имеется несколько оснасток mmc:
- Active Directory — пользователи и компьютеры – для создания и управления пользователями, группами, организационными подразделениями и другими объектами Active Directory;
- Active Directory – домены и доверие – для работы с доменами, деревьями и лесами доменов, установки доверительных отношений;
- Active Directory – сайты и службы – для управления сайтами, службами и подсетями, репликацией;
- Политика безопасности домена и Политика безопасности контроллера домена – для просмотра и изменения политики безопасности домена и контроллера домена, прав пользователей и аудита.
Они доступны в «Панели Управления – Администрирование». Альтернативный вариант: после вызова mmc выбрать «File – Add/Remove Snap-In», нажать кнопку «Добавить» и указать необходимую оснастку из списка. Последний способ удобнее тем, что все инструменты всегда будут под рукой.
Итак, вызываем «Active Directory — пользователи и компьютеры», по умолчанию будет произведено подключение к домену, к которому относится компьютер. Для подключения к другому домену, например, если есть подозрение, что репликация еще не произведена, и поэтому информация об объектах не правильна, щелкаем по заголовку «Active Directory — пользователи и компьютеры», нажимаем «Подключение к контроллеру домена», доступные КД будут выведены в списке.
Подключившись к нужному КД, первым делом создадим новое ОП, для чего нажимаем правой кнопкой мыши на названии домена, выбираем «New/Создать – Подразделение (Organisation Unit)» и вводим название организационного подразделения. Аналогичным методом в созданном контейнере можно создать произвольное количество вложенных ОП. Для подключения к ресурсам домена локальная учетная запись не подойдет, необходима доменная учетная запись. Для ее создания в этом же меню выбираем Пользователь. В появившемся окне «Новый объект — Пользователь» необходимо ввести имя и фамилию пользователя, а также имя для входа в домен (если доменов несколько, указывается и домен). Нажимаем «Далее» и переходим к следующей странице, где необходимо ввести пароль пользователя. Здесь же можно установить некоторые флаги для управления этой учетной записью:
- Требовать смену пароля при следующем входе в систему — установлено по умолчанию, необходимо для того, чтобы пароль знал только пользователь; при первом входе от него потребуют обязательно сменить пароль, иначе в систему он не попадет;
- Запретить смену пароля пользователя — этот флажок полезен в том случае, если одной учетной записью пользуются несколько пользователей, чтобы случайное или умышленное изменение пароля не заблокировало доступ остальным;
- Срок действия пароля неограничен — любой пароль следует периодически менять, этот флаг следует использовать в случае, указанном выше, или в сетях, не требующих серьезной защиты;
- Отключить учетную запись — может пригодиться, если пользователь пока не будет или не должен входить в сеть.
Пароль должен удовлетворять требованиям политик. Чтобы их просмотреть, вызываем редактор Групповых политик, набрав gpedit.msc, затем переходим в «Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики учетных записей – Политика паролей». В домене и контроллере домена политика паролей устанавливается в «Политика безопасности домена» и «Политика безопасности контроллера домена» («Параметры безопасности – Политики учетных записей – Политика паролей»). Здесь же настраиваются политики блокировки учетной записи и Kerberos. Учти, что политики доменов, сайтов, подразделений имеют более высокий приоритет, чем локальные.
После нажатия на «Далее» будет выведена результирующая информация. На этом создание учетной записи пользователя закончено. Новый пользователь появится во вкладке справа. Если необходимо создать несколько учетных записей с одинаковыми свойствами, проще создать одну, а остальные копировать. Для этого в меню, вызываемом при щелчке по имени пользователя, выбираем «Копировать», и откроется мастер «Копировать объект — пользователь».
Рис. 2. Проверка настройки DNS-сервера
Редактирование свойств учетной записи
Посмотрим свойства созданной учетной записи. Двойным щелчком мыши вызываем окно свойств пользователя. В 13-ти вкладках можно установить все параметры, относящиеся к характеру деятельности этого пользователя, контактную информацию. Например, вкладка «Учетная запись» похожа на первый шаг мастера создания пользователя, но здесь появилось несколько новых функций. Нажатием на кнопку «Время входа» можно указать дни неделя и время, когда пользователю разрешено входить в сеть. Нажатие на «Вход на» позволит определить компьютеры, на которые можно входить пользователю. Обрати внимание на флажок «Хранить пароль, используя обратимое шифрование», его активация отключает шифрование хешированием, что отрицательно сказывается на безопасности. Поле «Срок действия учетной записи» позволяет задать дату окончания действия учетной записи — весьма полезная возможность при предоставлении временного доступа.
Рис. 3. Меню создания новых объектов
Группы, в которые входит пользователь, устанавливаются во вкладке «Член групп». Выбираем «Добавить – Дополнительно» и нажимаем Поиск. В появившемся списке выбираем группу или группы, в которые должен входить пользователь, и нажимаем ОК. В следующем окне проверяем имена, соглашаемся с выбором и нажимаем «Применить». Таким же способом можно найти и остальные объекты: пользователей, компьютеры, опубликованные ресурсы.
Если требуется одновременно установить одинаковые параметры для нескольких пользователей, то чтобы не прибегать к использованию скриптов, можно выделить пользователей, а затем выбрать их свойства, причем некоторые операции можно произвести из контекстного меню, вызываемого щелчком мыши по имени пользователя/ей. Поддерживается Drag&Drop, поэтому при передаче пользователя или компьютера в другое ОП, его можно просто перетащить в нужную папку.
Рис. 4. Установка время входа для пользователя
Компьютеры, работающие под управлением Windows 2000/XP, при подключении к серверу будут добавляться автоматически в группу Computers. Для этого на каждом клиенте нужно выбрать «Мой Компьютер – Свойства – Имя компьютера», затем либо вызвать «Мастер сетевой идентификации», нажав кнопку «Идентификация», либо сразу ввести необходимые параметры, нажав кнопку «Изменить». Если имеются системы, работающие под Windows 98, они подключаются как клиенты Active Directory, в этом случае учетные записи компьютера не создаются. Для их работы необходимо установить программу dsclient.exe, которая имеется на установочном диске Win2k3.
Хотя есть один нюанс. Право добавлять компьютеры автоматически предоставляется всем зарегистрированным в домене пользователям, но количество автоматических регистраций под одной учетной записью ограничено. Поэтому учетные записи некоторых компьютеров, возможно, придется добавлять вручную, для этого достаточно щелкнуть правой кнопкой на контейнере, в котором необходимо ее разместить, затем выбрать «New – Компьютер» и в появившемся окне ввести имя компьютера.
По умолчанию присоединять компьютер к домену имеют право только члены группы Администраторы домена, чтобы разрешить данное действие другим пользователям или группам, необходимо нажать кнопку «Изменить» и выбрать их из списка, как это показано ранее.
Группы — более крупное понятие в иерархии объектов Active Directory, они содержат пользователей и компьютеры. Главное удобство – возможность одновременного задания разрешений всем членам группы, все установки, действительные для группы, распространяются на все объекты, входящие в ее состав. После установки контроллера домена в списке объектов появится несколько групп, предназначенных для самых разнообразных задач: создать учетные записи, публиковать ресурсы, управлять DNS, есть и группа «Гости домена», обладающая минимальными правами. Скорее всего, этих групп не будет хватать, поэтому придется создавать группы под специфические задачи: по подразделениям (бухгалтерия, отдел продаж, склад), должностным лицам (руководители, обычные пользователи, специалисты по безопасности, администраторы), по приложениям.
Создаются группы также из контекстного меню «Создать (New) – Группа (Group)». В появившемся окне «Новый объект — группа» задается имя, тип и область действия группы. Возможен выбор одного из трех типов. Группы распространения (distribution groups) применяются в том случае, когда необходимо объединить несколько пользователей в список рассылки электронной почты. А группам безопасности (security groups), кроме того, можно назначать доступ к ресурсам. Есть еще локальная группа, которая используется только на локальном компьютере, но она нас сейчас не интересует. Область действия группы определяет, каким образом входящим в нее объектам назначаются разрешения в доступе. Здесь возможно указать один из следующих вариантов:
- Локальная в домене — для установки разрешений на доступ к ресурсам домена, в котором они определены, например, для управления доступа к общим папкам, принтерам;
- Глобальная — применяется для предоставления доступа в любом дереве или лесе домена, подходит при организации совместной работы служащих нескольких подразделений, в группу этого типа входят только учетные записи домена, в котором они определены;
- Универсальная — применяется для управления разрешениями во всех деревьях и лесах домена, в эту группу включаются учетные записи или группы из любого дерева или леса домена, любое изменение в этой группе необходимо реплицировать во все глобальные каталоги, поэтому сюда рекомендуется включать группы, а не пользователей.
Для большинства случаев достаточно группы с областью действия «Локальная в домене». Аналогично пользователям и другим объектам, группы имеют свойства, доступ к которым можно получить из контекстного меню.
Рис. 5. Просмотр политики паролей
Просмотреть доступные общие ресурсы как локальные, так и удаленные можно в консоли «Управление компьютером» (запускается из папки Администрирование). Изначально в «Общие папки – Общие ресурсы» будут показаны ресурсы локальной системы. Для просмотра ресурсов на удаленной системе к ней сначала следует подключиться, вызвав пункт меню «Подключиться к другому компьютеру» и выбрав его из списка. При этом для доступа будут использованы стандартные права. Общий доступ для локальных папок может быть предоставлен обычным способом из Проводника, т.е. выбираем «Свойства – Доступ», устанавливаем переключатель в «Открыть общий доступ для этой папки» и во вкладке «Безопасность» указываем разрешения.
Теперь созданный ресурс требуется опубликовать в Active Directory. Это можно сделать в «Управление компьютером», выбрав в «Общие ресурсы» созданную общую папку и установив в окне «Свойства – Публикация» флажок «Опубликовать этот общий ресурс в Active Directory». После этого во вкладках «Разрешения для общего доступа» и «Безопасность» необходимо уточнить разрешения.
Вот, в принципе, и все. Мы установили и настроили контроллер домена, создали пользователей и группы, научились публиковать общие ресурсы.
Рис. 6. Вкладка Общие ресурсы
Блок-врезка: Преимущества AD по сравнению с одноранговой сетью
Несмотря на то, что планирование, установка, настройка контроллера домена и поддержание AD в рабочем состоянии потребует дополнительных затрат, в том числе и временных, администратор и пользователи взамен получают несомненные преимущества. В первую очередь повысится управляемость сети, особенно это будет заметно в сетях со сложной топологией. Администратору не нужно будет бегать по этажам, чтобы разобраться с проблемами доступа к общим ресурсам. Плюс интеграция с множеством продуктов, в том числе и Unix системами. Все настройки производятся в одном месте, что упрощает задачу и уменьшает вероятность конфликтов. Снижаются затраты при расширении сети. Повышается безопасность — теперь каждый получит то, что ему действительно нужно для работы, а не хочется, при этом пароль будет введен только один раз при регистрации, что скажется еще и на удобстве использования. Администратор получает возможность централизованно управлять политикой паролей и другими возможностями, позволяющими повысить защищенность сети.
Статья опубликована в апрельском номере журнала «Xakep» за 2007 год.