Самоучитель
системного администратора

4.2. Управление структурой домена предприятия

При проектировании логической структуры компьютерной сети организации следует учитывать многие факторы: решаемые задачи, требования безопасности, количество офисов, квалификацию обслуживающего персонала и т. п.

В небольших организациях не имеет особого смысла создание разветвленной логической структуры сети, поскольку обычно внутри организации применяются только одна или две групповые политики. С увеличением численности компьютерных систем структура становится все более сложной.

В большинстве случаев логическая структура домена будет "следовать" за организационной структурой предприятия. На малых и средних предприятиях обычно не возникает задача оптимизации количества и размещения контроллеров домена (ситуация с удаленным офисом будет обсуждена в главе 5). Если исходить из критериев мощности компьютера, то производительности одного сервера обычно вполне достаточно для обслуживания нескольких сотен рабочих станций. Однако в целях резервирования целесообразно иметь в сети не менее двух контроллеров, чтобы временные неисправности на одном из них не отразились на функционировании предприятия.

Создание нового домена

Для создания нового домена необходимо запустить утилиту dcpromo (ее можно стартовать также из задачи управления сервером, выбрав в меню пункт создания контроллера домена). В зависимости от ответов на вопросы мастера операции, вы сможете добавить новый контроллер в существующем домене либо создать новый домен. Можно создать новый домен внутри уже существующего, либо создать новое дерево доменов, дав домену уникальное имя. Все операции достаточно просты и обычно выполняются в течение нескольких минут. После чего, перезагрузив компьютер, вы получаете новый контроллер домена.

    Примечание

    Естественно, что для выполнения операций пользователь должен обладать соответствующими правами. Так, для создания нового дерева доменов предприятия операцию необходимо выполнять с правами администратора предприятия.

Перед началом операции следует тщательно обдумать то доменное имя, которое вы дадите вновь создаваемому домену. Если ваша организация имеет уже зарегистрированное в Интернете доменное имя, то имя домена Windows может быть основано на нем. Можно присвоить внутреннему домену реальное имя Интернета, а можно дать только локальное название. В любом случае по соображениям безопасности данные структуры домена Windows (DNS-сервера) не публикуются в глобальной сети. Ничто не запрещает вам избрать для внутреннего домена имя, которое не соответствует реальным доменам Интернета, например, дать название myorg.local.

    Примечание

    Проследите, чтобы полное доменное имя не являлось именем первого уровня, а обязательно состояло из двух частей. В противном случае необходимо выполнить ряд дополнительных настроек, которые следует уточнить по документации с сайта разработчика.

Создание домена обязательно требует наличия сервера DNS. Если сервер DNS не настроен, по умолчанию программа установки предлагает создать и настроить сервер DNS локально. В общем случае служба каталогов не требует обязательного использования DNS-сервера разработки Microsoft. AD может быть установлена, например, на сервер BIND. При этом следует учесть, что BIND версии 4.9.7 и старше поддерживает возможность создания SRV-записей, которые необходимы для работы службы каталогов, а начиная с версии 8.2.2, поддерживаются и динамические обновления записей данного типа.

    Примечание

    SRV-запись на сервере DNS позволяет клиенту узнать расположение сервера, обслуживающего соответствующую службу. SRV-записи для Microsoft-доменов строятся по форме _Service ._ Protocol . DnsDomainName. Например, адреса LDAP-серверов домена могут быть запрошены по имени _ldap._tcp.имя_домена, а адрес сервера глобального каталога конкретного леса в домене — как _ gc._tcp. имя_леса.

Особенности создания дополнительного удаленного контроллера в домене Windows

После создания нового контроллера домена программа пытается выполнить его синхронизацию с другими контроллерами. Объем данных, передаваемый в этой операции по сети, обычно составляет десятки мегабайт, а в средних организациях может превышать и несколько сотен мегабайт. Поэтому установку контроллеров для филиалов, подключенных через медленные каналы связи, лучше выполнять непосредственно в центральном офисе. После первоначальной синхронизации компьютер можно выключить и перевезти на удаленную площадку. Объем синхронизуемых данных, которые будут переданы после включения компьютера в удаленном офисе, в этом случае будет существенно ниже объема первоначальной синхронизации и не создаст критической нагрузки на каналы связи.

В Windows 2003 введена новая возможность при создании контроллера домена — это выполнение первоначальной синхронизации из файлов резервного копирования.

Для создания нового контроллера необходимо сначала выполнить резервное копирование состояния (system state) любого контроллера домена, после чего полученные файлы резервной копии любым способом передать в удаленный офис (например, нарезать на CD-матрицы). В удаленном офисе следует восстановить эти данные в другое место (выбрать папку для восстановления при запуске операции). Затем запустить утилиту dcpromo с помощью одноименной команды dcpromo с ключом /adv. При таком варианте ее запуска на одном из шагов появится дополнительная опция, запрашивающая место, откуда следует провести загрузку первичных данных (рис. 4.5). Вам достаточно указать папку, в которую было проведено восстановление данных с контроллера домена. В завершение операции система проведет синхронизацию последних изменений службы каталогов.

Рис. 4.5.
Копирование данных контроллера домена из архивной копии

Эта возможность позволяет существенно сократить объем реплицируемых по каналам связи данных.

    Примечание

    Для проведения операции создания нового контроллера домена при любом варианте необходимо иметь связь с действующими контроллерами домена (для проверки прав и внесения необходимых изменений в схему организации).

Создание контроллеров домена "только для чтения"

В удаленных филиалах могут быть установлены контроллеры домена Windows 2008 только для чтения (RODC — Read Only Domain Controller). Данный вариант позволяет снизить риск дискредитации данных всего домена в случае доступа злоумышленника к контроллеру в филиале.

Способы создания RODC описаны в главе 5.

Удаление контроллера домена

Штатное удаление контроллера домена производится с помощью той же утилиты dcpromo. Ее следует запустить на компьютере, роль которого предполагается понизить до обычного сервера. Указав необходимые параметры операции (например, пароль будущего локального администратора), администратору нужно только дождаться сообщения о требуемой перезагрузке системы. Для успешного завершения операции компьютер должен иметь связь с другими контроллерами (если это не последний контроллер домена).

Бывают ситуации, когда контроллер выходит из строя, например из-за неполадок в оборудовании, и его не планируется восстанавливать из резервной копии. В таком случае необходимо удалить из службы каталогов все записи, которые связаны с этим контроллером. Для этого штатно используется утилита ntdsutil.

    Примечание

    В новых версиях Windows Server графические утилиты пополнены опциями удаления контроллера, однако описываемый в тексте способ может пригодиться при работе в доменах предыдущих режимов.

Опишем последовательность шагов, которые необходимо выполнить в данной утилите для удаления отсутствующего контроллера домена.

  1. После запуска утилиты на экране появится окно ее интерфейса. Вам необходимо перейти к опции metadata cleanup.
  2. Теперь нужно подключиться к работающему контроллеру домена (connections | connect to server <имя>), на котором мы будем выполнять операцию удаления метаданных.
  3. После подключения к контроллеру снова возвращаемся в режим metadata cleanup. На этом шаге необходимо выбрать тот контроллер, данные о котором предполагается удалить.
  4. Набираем команду Select operation target, после перехода в этот режим последовательно подключаемся к ресурсам организации. Например, чтобы указать на конкретный сервер, сначала нужно будет просмотреть список сайтов (List sites), после чего подключиться к нужному сайту (Select site <номер, полученный на предыдущем шаге>). Затем просмотреть список доменов и подключиться к нужному и т. д. В завершение после выполнения команды List servers for domain in site вы увидите нумерованный список серверов. Вам нужно выбрать тот сервер, который предполагается удалить (Select server <номер>), и вернуться в меню metadata cleanup.
  5. В меню metadata cleanup дать команду на удаление параметров выбранного сервера (Remove selected server).

Переименование домена

Имя домена Windows невозможно сменить для доменов на основе операционных систем Windows NT 4.0 Server/Windows 2000 Server. Для доменов, работающих в режиме Windows 2003 и старше, такая возможность появилась, и автору приходилось ее выполнять. Но эта операция весьма ответственна и не всегда в ходе ее осуществления могут быть изменены все наименования. Например, сертификаты, выданные на старые имена, окажутся недействительны, придется менять настройки почтового сервера и т. п.

Операция переименования требует тщательной подготовки. Последовательность действий администратора для переименования домена изложена в документе Introduction to Administering Active Directory Domain Rename технической библиотеки Microsoft по адресу http://technet.microsoft.com/en-us/library/cc816848% 28WS.10%29.aspx.

Утилиты управления объектами службы каталогов

Управление доменом может проводиться не только с серверов Windows. При наличии соответствующих прав большинство операций может быть выполнено удаленно с рабочих станций. Для этого необходимо установить пакет администрирования.

Пакет администрирования Adminpak.msi для серверов Windows 2003 поставлялся с дистрибутивом сервера и мог быть установлен на рабочие станции Windows XP. Для серверов Windows 2008 средства удаленного управления стали называться Remote Server Administration Tools for Windows 7 и доступны к загрузке со страницы http://go.microsoft.com/fwlink/?LinkID=137379. Особенности установки пакета подробно описаны в технической библиотеке в документе http://technet. microsoft.com/en-us/library/ee449483%28WS.10%29.aspx.

Стандартные средства для удаленного управления структурой службы каталогов повторяют возможности оснасток управления на сервере — это оснастки управления пользователями и компьютерами, доменами и доверием, сайтами и службами. Как в случае любой графической утилиты, этими программами удобно и быстро можно выполнять типовые операции, для которых они были разработаны. В нашем случае — это операции создания пользователей и подразделений, назначение им свойств, перемещение пользователей, компьютеров и подразделений между различными контейнерами и т. п.

Выполнение данных операций с помощью указанных оснасток достаточно прозрачно, все проблемы администратор легко решит с помощью справочной системы.

Утилиты запросов командной строки службы каталогов

В системе присутствует несколько утилит, которые позволяют в режиме командной строки выполнить простейшие операции со службой каталогов Windows: поиск объектов по заданным критериям, добавление и удаление объектов, их перемещение и т. п. Это команды dsquery (выполняет поисковые запросы к службе каталогов), dsadd (добавляет новые объекты), dsget (отображает параметры объектов), dsmod (изменяет параметры объектов), dsmove (перемещает объекты), dsrm (удаляет объекты).

Например, с помощью команды dsquery можно легко получить список компьютеров, не работавших в сети в течение какого-либо периода времени:

где 5 — число недель, в течение которых компьютер не входил в сеть.

Утилита csvde позволяет импортировать/экспортировать объекты в формате CSV. Этот формат удобен для последующего анализа, например, в Excel. Синтаксис команды аналогичен описываемому далее для Ldifde. Особенность использования команды csvde состоит в том, что с ее помощью можно добавлять объекты, но нельзя изменять их атрибуты или удалять существующие объекты.

LDAP-управление

Служба каталогов Windows представляет собой иерархическую структуру, управление которой может осуществляться не только оснастками, но и с использованием различных способов прямого доступа к данным. Например, администратор может получить доступ к объектам службы каталогов с использованием сценариев на Visual Basic, применяя запросы ADO и т. п.

Поскольку служба каталогов поддерживает протокол LDAP, ставший стандартом для доступа к подобным службам, то для управления структурой домена удобно применять утилиты, реализующие подключение по этому протоколу.

Подключаемся к каталогу по протоколу LDAP

Во-первых, можно использовать оснастку ADSI Edit (рис. 4.6). С помощью этой оснастки можно подключиться к любому узлу структуры службы каталогов, увидеть его атрибуты, при необходимости отредактировать их и установить желаемые права доступа. Оснастка позволяет создавать новые объекты в структуре каталогов, удалять существующие, перемещать их и т. п.

Рис. 4.6.
Утилита ADSI Edit

    Примечание

    Обратите внимание, что с помощью этой оснастки можно подключиться к любой точке структуры каталогов, а не только к элементам Domain, Configuration, Schema. Достаточно указать соответствующие параметры в меню программы.

Во-вторых, при установке Support Tools в систему добавляется утилита ldp.exe, которая позволяет подключаться к службам по протоколу LDAP, добавлять и удалять объекты, редактировать их, выполнять поиск. Утилита несколько необычна в использовании, поскольку предполагает первоначальные знания администратором структуры каталогов. При ее запуске следует выполнить подключение к службе в нужной точке (connect) и зарегистрироваться (bind).

Конечно, применять утилиту ldp.exe в случаях, когда можно, например, использовать графические оснастки, не имеет смысла. Но эта утилита позволяет выполнять операции с объектами службы каталогов с использованием синтаксиса LDAP-протокола. Например, первоначально ldp.exe являлась единственным бесплатным вариантом восстановления удаленных объектов каталога.

Ну и в-третьих, в Сети доступно много средств, в которых реализованы возможности подключения и управления системой по протоколу LDAP и которые могут оказаться для администратора более удобны в применении.

Синтаксис поисковых запросов LDAP

Чтобы правильно составить запрос к службе каталогов, необходимо изучить основы LDAP-синтиксиса.

В службе каталогов информация хранится в виде объектов. Для обозначения свойств объектов (по терминологии Microsoft) в стандартах LDAP применяется термин атрибуты.

Чтобы выбрать нужные данные из службы каталогов, необходимо составить фильтр. В LDAP используются специальные конструкции для фильтров, в которых оператор ставится до самих величин. Например, если вам необходимо найти всех пользователей с фамилией Иванов, то фильтр следовало бы записать по следующей форме: (и(тип=пользователь) (фамилия=Иванов)). То есть два условия объединены требованием и, которое записано до условий.

В фильтрах допустимы операторы, перечисленные в табл. 4.1.

Таблица 4.1.
Допустимые операторы фильтров

    Примечание

    Некоторые объекты допускают использование поиска по маске (*); в общем случае наличие такой возможности следует уточнить по документации.

Если в запросе необходимо использовать символы: " (", и nul, то они должны быть записаны через escape-последовательность так, как указано в табл. 4.2.

Таблица 4.2.
Escspe-последовательности

    Примечание

    Аналогично через escape-последовательность записываются двоичные данные с разбиением по два байта.

Определенную сложность при первых обращениях к операциям поиска вызывает знание необходимого атрибута, который должен быть использован в операции. Можно порекомендовать просмотреть все атрибуты объекта этого же типа, выбрать нужное свойство и использовать его в запросе. Это можно сделать и в самой программе ldp.exe, если включить отображение вывода в результате поиска всех атрибутов. Для этого следует открыть окно поиска, нажать кнопку Option и в строку перечня атрибутов ввести звездочку (*).

    Примечание

    Чтобы вернуться к выводу сокращенного списка атрибутов, следует в данной строке перечислить (через точку с запятой) названия тех атрибутов, которые должны отображаться на экране по результатам поиска.

Покажем на небольшом примере, как можно быстро в домене найти пользователя по второму почтовому адресу.

Дополнительные адреса электронной почты, которые присвоены пользователю, перечисляются в атрибуте proxyaddresses. Дополним перечень отображаемых атрибутов этим значением (допишем его в строку Attributes после точки с запятой) и снимем флажок в параметре Attributes, чтобы программа поиска вывела на экран значения атрибутов. Установим в окне настройки фильтра поиска в качестве начальной точки имя нашего домена, а критерием поиска выберем следующую строку:

Она означает, что мы хотим искать только пользователей, у которых один из адресов электронной почты содержит символы адрес (в любом месте адреса). Выберем зону поиска по всей базе (SubTree). Выполнив поиск, мы получим на экране необходимые сведения.

Команда Idifde

Большая часть системных администраторов предпочитает использовать для конфигурирования серверов текстовые файлы, поскольку с ними удобнее работать, чем с двоичной информацией. Для каталогов существует стандарт LDIF (LDAP Interchange Format, определен в документе RFC 2849), который определяет правила представления данных каталога в текстовом файле.

LDIF-файл представляет собой текстовые строки, в которых приведены атрибуты объектов, их значения и директивы, описывающие способы обработки этой информации. В Windows имеется утилита Idifde (запускаемая одноименной командой), которая выполняет такое преобразование данных из службы каталогов, используемой в Windows, в текст и обратно. Ключи утилиты позволяют уточнить точку подключения, глубину выборки, указать фильтры операции и т. п.

На эту утилиту обычно обращается мало внимания, хотя она может существенно упростить многие административные задачи. Обычно с помощью ldif-файлов выполняется модификация схемы каталога при установке новых приложений.

Предположим, что вам необходимо откорректировать параметры пользовательских учетных записей, например, указать для всех работников некоторого подразделения в свойствах учетных записей название их отдела. Выполнение операции "в лоб" — последовательное открытие учетных записей и вставка нужного описания в соответствующее поле — весьма трудоемко и нерационально при значительном числе сотрудников.

С помощью же данной утилиты можно выполнить экспорт в текстовый файл параметров учетных записей пользователей только для заданного подразделения (установив фильтр по данному OU), после чего с помощью обычного текстового редактора одной операцией поиска и замены откорректировать значения нужных атрибутов. В завершение достаточно выполнить импорт полученного файла. В результате атрибуты для всех записей будут откорректированы практически за несколько шагов.

    Примечание

    Такая операция также весьма просто выполняется с помощью сценария Visual Basic. Достаточно подключиться к нужному контейнеру, установить фильтр для выборки только объектов типа "пользователь" и запустить цикл для каждого элемента данного типа в этом контейнере. Однако приведенная схема не требует от администратора знания сценариев и может быть выполнена буквально в течение нескольких минут.

Ранее мы рассматривали пример, как с помощью команды dsquery получить список компьютеров, длительное время не работавших в составе сети. Приведем второй способ, как можно получить в файл такой список с помощью команды ldifde:

В фильтре использовано представление даты в машинном формате. Такие значения легко можно получить при помощи простых операций, например:

Переменная FileTime1 будет иметь значение, соответствующее дате двухмесячной давности. Необходимо учитывать, что компьютеры, которые не перезагружались в течение этого периода, также будут иметь "старые" значения времени входа в систему. Фильтр также выводит имена компьютеров, для которых отсутствует значение параметра времени входа в систему.

Представленный пример несколько искусственен, поскольку результат может быть получен более простым способом. Но он приведен именно для того, чтобы проиллюстрировать существование различных возможных вариантов действий администраторов.

Делегирование прав

Традиционно системный администратор объединял в себе все текущие функции управления доменом. Он создавал и удалял пользователей, добавлял компьютеры в домен, следил за членством в группах и т. п. Большинство таких рутинных операций без ущерба для функционирования сети может быть переложено на других сотрудников. Например, новые учетные записи пользователей в соответствующем подразделении могут создаваться сотрудником кадровой службы при оформлении приема на работу; компьютеры в домен добавляться сотрудниками технической службы сервиса; разработка групповых политик, предусматривающих установку специализированных программ, вестись техническими специалистами соответствующего отдела; добавление пользователей в группы безопасности — сотрудниками подразделений безопасности и т. п. При этом за администратором предприятия сохранились бы все руководящие функции для возможных экстренных вмешательств, но "освободились руки" для подготовки и реализации стратегических решений.

Для того чтобы осуществить на практике такую передачу прав, которую принято называть делегированием, администратору достаточно изменить разрешения безопасности на соответствующий контейнер. Так, если необходимо делегировать кому-либо право создания пользователей, то этому сотруднику следует дать право на создание объекта типа "пользователь" в заданном подразделении. При этом перечень возможных прав доступа для контейнера является настолько подробным, что администратор без труда может настроить объем делегирования (например, дать право добавления в домен компьютеров, но лишить возможности изменения или удаления таких объектов).

Делегирование прав создания учетных записей позволит более тесно "связать" кадровые записи и записи служб каталогов. Учетная запись в этом случае может иметь только минимальные начальные права для входа в систему. Предоставление дальнейших прав по доступу к ресурсам (изменение членства в группах) могут осуществлять менеджеры соответствующих групп.

Большинство утилит графического управления объектами службы каталогов содержат в меню команду делегирования прав. Эта команда вызывает мастер, который меняет список прав доступа (рис. 4.7). Запуск данного мастера является самым простым способом делегирования прав на объекты. Но при этом администратору следует учитывать два момента.

Рис. 4.7.
Мастер операций предлагает определить объем делегирования прав

Во-первых, всегда можно более точно откорректировать права доступа, если обратиться к редактированию параметров безопасности контейнера напрямик.

Во-вторых, хотя мастер делегирования прав присутствует в системе, но мастера отзыва прав не предусмотрено. Иными словами, если, например, необходимо передать право управления от одного сотрудника другому, то администратору придется вначале вручную исключить первого из списка доступа.

Просмотр и восстановление удаленных объектов каталога

Удаленные объекты каталога (например, учетная запись пользователя или компьютера) в домене Windows сначала помещаются в специальный контейнер (аналог Корзины), в котором они сохраняются по умолчанию 60 суток. В течение этого времени данные объекты можно восстановить.

    Примечание

    Этот интервал можно изменить, если ввести, например с помощью ADSI Edit, новое значение атрибута tombstoneLifetime для объекта cn=Directory Service, cn=Windows NT,cn=Services, cn=Configuration,<DN_KopM_neca>.

Администратор может использовать и утилиту для автоматического восстановления


Рейтинг@Mail.ru