Всем привет!
В предыдущих статьях было рассказано о том,
что такое Active Directory и
как установить роль Active Directory на Windows Server 2008. Эта статья будет посвящена созданию объектов в Active Directory. О том что такое объекты домена можно прочитать
здесь.
Создание подразделения
Подразделения OU (Organization Unit) обеспечивают административную иерархию, аналогичную иерархии на диске: подразделения представляют собой коллекции объектов, которые предназначены для администрирования.
Подразделения не используются для назначения разрешений доступа к ресурсам – для этого существуют группы. Пользователи помещаются в группы, которым назначаются разрешения доступа к ресурсам. Подразделения же представляют собой административные контейнеры, внутри которых администраторы управляют этими пользователями и группами.
Для справки: в административных средствах Windows Server 2008 появилась новая опция – Защитить контейнер от случайного удаления (Protect Container From Accidental Deletion). Она предусматривает для подразделения (OU) возможность использовать переключатель безопасности, позволяющий избежать случайного удаления OU. В подразделение добавляются два разрешения: Everyone::Deny::Delete и Deny::Delete::Subtree, поэтому пользователи и даже администраторы не могут удалить подразделение и его содержимое. Настоятельно рекомендуется включать эту защиту для всех новых подразделений.
Думаю пока хватит теории, настало время создать подразделение (OU).
Переходим в
Диспетчер севера ->
Роли ->
Доменные службы Active Directory ->
Active Directory – пользователи и компьютеры. Щелкаем правой кнопкой мыши узел домена или подразделения. В моем случае я нажимаю на
mytestdomain.com. Далее
Создать ->
Подразделение.
В поле
Имя вводим название подразделения и обязательно ставим галочку на
Защитить контейнер от случайного удаления. Щелкаем кнопку
OK.
Подразделение создано, теперь можно изменить его свойства. Для этого нажимаем на подразделение правой кнопкой мыши и применяете команду
Свойства.
Во вкладке
Общие введите необходимую для вас информацию. Например, в поле
Описание можно указать назначение подразделения. Если подразделение представляет физическое пространство, например офис, тогда можно указать почтовый адрес подразделения и т.д.
Вкладку
Управляется можно применить для привязки к пользователю или группе, которая несет ответственность за подразделение. Для этого нужно щелкнуть на кнопку
Изменить под полем
Имя.
Создавать подразделения в Active Directory мы научились, но иногда требуется удалить подразделение по тем или иным причинам. Для этого в оснастке
Active Directory – пользователи и компьютеры щелкаем меню
Вид и выбираем команду
Дополнительные компоненты.
Нажимаем на подразделение правой кнопкой мыши и применяем команду
Свойства. Потом переходим на вкладку
Объект и сбрасываем галочку
Защитить контейнер от случайного удаления. Щелкаем
ОК.
После чего опять щелкаем подразделение правой кнопкой мыши и применяем команду
Удалить.
Создание объекта пользователя
Думаю объяснять, что такое пользователь не нужно. Пользователь он и в Африке пользователь. Сразу приступаем к созданию объекта пользователя в Active Directory.
Открываем оснастку
Active Directory – пользователи и компьютеры переходим в домен (
mytestdomain.com). Выбираем подразделение, в котором хотим создать объект пользователя. Щелкаем подразделение правой кнопкой мыши, выбираем опцию
Создать и применяем команду
Пользователь.
В окне
Новый объект – Пользователь вводим
Имя и
Фамилию пользователя. В поле
Имя входа пользователя вводим имя входа пользователя и в раскрывающемся списке выбираем суффикс основного имени пользователя UPN (User Principle Name), который будет прикреплен к имени входа пользователя с символом
@.
Для справки: имена пользователей в Active Directory могут содержать некоторые особые символы (включая точки, дефисы и апострофы), что позволяет генерировать точные имена пользователей. Однако, некоторые приложения могут иметь другие ограничения, поэтому рекомендуется использовать только стандартные буквы и цифры.
Нажимаем кнопку
Далее. Вводим начальный пароль пользователя и и устанавливаем флажок
Требовать смену пароля при следующем входе в систему.
Нажимаем кнопку
Далее. Просматриваем введенные параметры и щелкаем кнопку
Готово.
Наш новый пользователь создан. Чтобы задать дополнительные настройки пользователя, нажмите правой кнопкой мыши созданный объект пользователя и примените команду
Свойства.
Описывать дополнительные настройки пользователя Acrive Directory я не буду – это слишком долго. Лучше сами поэкспериментируйте с настройками и посмотрите результаты.
Создание объекта группы
Группы служат для единого управления коллекциями пользователей, компьютеров и других групп. Например, нужно предоставить некоторым пользователям доступ к некоторой общей папке. Эти пользователи входят в состав других групп. Все что нужно сделать, создать новую группу, включить в эту группу пользователей и дать этой группе доступ к папке.
Открываем оснастку
Active Directory – пользователи и компьютеры переходим в домен (
mytestdomain.com). Выбираем подразделение или контейнер, в котором хотим создать группу. Щелкаем правой кнопкой мыши подразделение или контейнер, выбираем опцию
Создать и применяем команду
Группа.
В окне
Новый объект – Группа вводим имя группы.
Группе безопасности можно предоставлять разрешения доступа к ресурсам. Ее также можно отконфигурировать, как список распространения электронной почты.
Группа распространения – это группа электронной почты, которой нельзя предоставлять разрешения доступа к ресурсам. Она используется только для распространения электронной почты.
О том, что такое
Глобальная группа,
Локальная группа в домене и
Универсальная группа будет рассказано в следующих статьях.
Создание объекта компьютера
В Active Directory компьютеры представлены в качестве учетных записей и объектов аналогично пользователям. Компьютер входит в сеть домена точно так же, как и пользователь. Компьютер располагает именем с прикрепленным знаком доллара (например, Desktop001$) и паролем, который устанавливается при присоединении компьютера к домену и автоматически меняется как минимум каждые тридцать дней. Значение в тридцать дней можно поменять с помощью групповой политики Windows, но об этом в следующих статьях.
Открываем оснастку
Active Directory – пользователи и компьютеры переходим в домен (
mytestdomain.com). Выбираем подразделение или контейнер, в котором хотим создать компьютер. Щелкаем правой кнопкой мыши подразделение или контейнер, выбираем опцию
Создать и применяем команду
Компьютер.
В окне
Новый объект – Компьютер вводим имя компьютера. Учетная запись, указанная в поле
Имя пользователя или группы, сможет присоединить компьютер к домену. По умолчанию указаны
Администраторы домена. Чтобы выбрать еще одну группу или пользователя, щелкните кнопку
Изменить.
Для справки: не устанавливайте галочку Назначить учетной записи статус пред-Windows 2000, если эта учетная запись не предназначена для компьютера Microsoft Windows NT 4.0.
Дополнительные свойства компьютера назначаются точно также, как и в описанных ранее объектах Active Directory.
На этом все. Будут вопросы, обращайтесь. Чтобы следить за статьями блога, оформляйте подписку по
E-MAIL или
RSS, чтобы следить за выходом новых статей.
Дополнительные материалы:
Источник: www.levinkv.ru