- •Администрирование в информационных системах
- •09.03.02 «Информационные системы и технологии»
- •Администрирование в информационных системах
- •09.03.02 «Информационные системы и технологии»
- •Введение
- •Лабораторная работа №1 Развертывание ad ds. Перемещение ролей fsmo
- •Лабораторная работа №2 Изучение методов разрешения имен. Настройка dns сервера.
- •Лабораторная работа №3 Изучение объектов ad. Применение групповой политики.
- •Библиографический список рекомендуемой литературы
- •Администрирование в информационных системах
- •394006 Воронеж, ул. 20-летия Октября, 84
Лабораторная работа №3 Изучение объектов ad. Применение групповой политики.
Цель работы: Изучить следующие объекты AD DS: пользователь, группа, компьютер, подразделение. Научиться настраивать и применять групповую политику и получать результирующую групповую политику для компьютера и пользователя.
Краткие теоретические сведения.
Каждому пользователю, которому необходимо входить в домен, требуется учетная запись пользователя. Учетная запись может быть создана внутри любого контейнера, встроенного или созданного. В Active Directory большинство свойств, относящихся к учетной записи пользователя, не настраивается в процессе создания учетной записи, но может быть настроено позднее. Можно менять свойства множества учетных записей одновременно, выбрав несколько учетных записей и затем обратившись к их свойствам.
Вкладки свойств, открывающиеся на учетной записи пользователя, зависят от набора установленных служб. Например, если установлена Exchange 2003, почтовая конфигурация пользователя появится в перечне свойств. Чтобы увидеть некоторые из вкладок, вы должны выбрать опцию Advanced Features из меню View.
Группа – объединение других объектов: пользователей, компьютеров, других групп с целью управления ими как единым целым. Самый частый пример использования группы – предоставление группе доступа к различным ресурсам - файлам, принтерам, ветвям реестра, папкам и назначение различных привилегий - выключение компьютера, изменение системного времени и т. д.
Группы бывают двух типов:
группы безопасности (Security) – используются для предоставления доступа к ресурсам и могут быть сконфигурированы как список для рассылки электронной почты. Является принципалом безопасности, то есть ей сопоставлен SID, который включается в маркер доступа пользователя при входе в систему
группы распространения (Distribution) – используются только для рассылки электронной почты, не могут использоваться для предоставления доступа. Группе распространения не назначается SID. Если группу не предполагается использовать в ACL, то нужно создавать именно группу распространения, чтобы уменьшить размер маркера доступа.
Различают три типа области действия группы (Group Scope):
Глобальная (Global) – группа для определения определённой функции, например - Бухгалтерия
может содержать пользователей, компьютеры и другие глобальные группы только ОДНОГО домена.
Локальная (Local) – группа, аналогичная группам безопасности на локальном компьютере, может включать:
все принципалы безопасности домена: пользователи, компьютеры, другие локальные группы, глобальные группы
пользователи, компьютеры, глобальные группы из любого домена леса
универсальные группы из любого домена леса
Универсальная (Universal) – реплицируется в глобальный каталог
может быть членом другой универсальной группы или использоваться для предоставления доступа к ресурсам
В AD компьютеры представлены в качестве учетных записей и объектов аналогично пользователям. Компьютер входит в сеть домена точно так же, как и пользователь. Компьютер располагает именем с прикрепленным знаком доллара (например, Computer1$) и паролем, который устанавливается при присоединении компьютера к домену и автоматически меняется как минимум каждые 30 дней.
Существует несколько свойств для описания компьютера, например:
DNS-имя (DNS-name)
Сайт (Site)
Имя операционной системы (Operating System Type
Версия (Version)
Пакет обновления (Service Pack)
Групповая политика - централизованная автоматизированная система администрирования конфигурации параметров пользователей и компьютеров в среде. Параметры политики конфигурируются как объекты групповой политики GPO (Group Policy Object) и привязаны к различным уровням структуры Active Directory, таких как:
сайт
домен
подразделение (OU)
Настройки групповой политики могут наследоваться аналогично разрешениям NTFS
При создании домена создаются два объекта групповой политики
Default Domain Policy – привязан к уровню домена
Default Domain Controllers Policy – привязан к OU Domain Controllers
На локальном компьютере применяется LGPO (Local Group Policy Object). LGPO имеет минимальный приоритет, применяется первой. Для управление групповой политикой используется консоль GPMS, которая устанавливается
с помощью мастера добавления компонентов
при добавлении на сервер роли ADDS
Последовательность применения объектов GPO следующая:
Выполнение LGPO
Политики уровня сайта
Политики уровня домена
Обработка политик OU
Пользователь или компьютер может быть включен в область действия различных GPO. Результирующая политика RSoP показывает точные параметры, применяемые к компьютеру и пользователю.
Инструменты для выполнения анализа RSoP:
Мастер результатов групповой политики (Group Policy Results Wizard)
Мастер моделирования групповой политики (Group Policy Modeling Wizard)
утилита gpresult.exe
Параметры политики компьютера обновляются каждые 90 – 120 минут. Политики пользователя обновляются каждые 90-120 минут и при входе пользователя. Применение политики называется Обновлением групповой политики. При необходимости можно вызвать обновление групповой политики запуском gpupdate.exe /force.
Практические задания
Задание 1. Создание подразделения, пользователей в подразделении и групп пользователей.
Чтобы открыть оснастку "Active Directory - пользователи и компьютеры", нажмите кнопку Пуск, щелкните Панель управления, дважды щелкните Администрирование, а затем дважды щелкните Active Directory - пользователи и компьютеры.
В дереве консоли щелкните правой кнопкой мыши имя домена.
Выберите команду Создать и щелкните Подразделение.
Введите имя подразделения OU1.
Внутри подразделения OU1 аналогичным образом создайте подразделения Users, Computers, Servers, Groups.
В дереве консоли щелкните правой кнопкой мыши на подразделении Users, выберите команду Создать и щелкните Пользователь.
Введите Имя, Фамилию, в качестве имени входа U00001.
Аналогичным способом создайте пользователей U00002, U00003, U00004.
В дереве консоли щелкните правой кнопкой мыши на подразделении Groups и создайте глобальные группы безопасности Accounting_G, Admins_G, Reporting_G, Trainee_G, максимально заполните детали для каждой группы.
Создайте локальные группы безопасности Accounting_L_RO, Accounting_L_FC, Accounting_L_List, TestShare_L_FC, TestShare_L_RO, TestShare__L_L.
Добавьте пользователей U00001, U00002 в группу Accounting_G, пользователей U00003, U00002 в группу Reporting_G, пользователя U00004 в группу Trainee_G и пользователя U00001 в группу Admins_G.
Добавьте глобальные группы в локальные следующим образом:
Reporting_G в группы TestShare__L_FC, Accounting_L_RO;
Admins_G в группы TestShare_L_FC, Accounting_L_FC;
Accountig_G в группы TestShare__L_L, Accounting_L_FC;
Trainee_G в группы TestShare__L_RO, Accounting_L_RO.
ПРОДЕМОНСТРИРУЙТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ
Заполните в тетради таблицу 4 членства пользователей в группах.
Таблица 4. Таблица членства пользователей в группах
-
Имя пользователя
Группы
Задание 2. Создание общего ресурса и назначение прав с помощью комбинации прав NTFS и прав на общий ресурс.
На компьютере DC1 нажмите кнопку Пуск и выберите пункт Компьютер. В проводнике Windows будут показаны жесткие диски и другие устройства компьютера.
В проводнике Windows в разделе "Жесткие диски" дважды щелкните Локальный диск (C:). В проводнике Windows будет показано содержимое локального диска.
В проводнике Windows щелкните Создать папку. В правой области будет создана новая папка с доступным для изменения именем по умолчанию Новая папка. Замените имя по умолчанию на Test_share и нажмите клавишу ВВОД. В проводнике Windows будет создана папка с указанным именем.
Щелкните папку Test_share правой кнопкой мыши, выберите пункт Общий доступ для, а затем щелкните Конкретные пользователи (рис.16).
Рис.16. Создание общего ресурса в проводнике.
Будет открыто диалоговое окно Общий доступ к файлам. Добавьте группу Все и дайте ей доступ Чтение и запись (рис.17).
Рис.17. Назначение разрешений общего доступа к папке
Щелкните Общий доступ. Будет открыто диалоговое окно Сетевое обнаружение и общий доступ к файлам.
В диалоговом окне Сетевое обнаружение и общий доступ к файлам щелкните Да, включить обнаружение сети и совместный доступ к файлам для всех общественных сетей.
В окне Общий доступ к файлам появится уведомление, что папка является общей, а разделе Отдельные элементы будет указана папка \\DC1 \Test_share (рис. 18).
Рис.18. Просмотр общего ресурса.
В окне Общий доступ к файлам нажмите Готово.
В окне ввода адреса в Проводнике напишите \\DC1\TestShare (рис.19)
Рис. 19. Обращение к общему ресурсу
Зайдите в проводник и создайте подкаталог Accounting.
Назначьте на каталог Accounting права с помощью групп, созданных в задании 1, в соответствии с названиями этих групп.
Заполните таблицу 5 в тетради, указав, какие права имеет каждый из пользователей на папку TestShare и Accounting.
Таблица 5. Таблица прав NTFS и прав на общий ресурс.
-
Имя пользователя
Группы
Права на Права на TestShare
Права на Accounting
Задание 3. Создание объекта групповой политики и привязка его к подразделению.
В меню Пуск сервера DC1 выберите пункт Администрирование, а затем - пункт Управление групповой политикой.
При использовании диспетчера серверов следует развернуть узлы Компоненты и Управление групповой политикой.
Откройте панель переходов, разверните узлы Лес, fflab.net, Домены, а затем разверните узел fflab.net.
В этой же области щелкните правой кнопкой мыши пункт Объекты групповой политики и выберите команду Создать.
В поле Имя введите TestGPO и нажмите кнопку ОК.
Щелкните правой кнопкой мыши объект TestGPO и выберите команду Изменить.
В редакторе управления групповой политикой настройте 5 параметров групповой политики. ПОКАЖИТЕ НАСТРОЙКИ ПРЕПОДАВАТЕЛЮ.
Закройте редактор групповой политики.
На консоли Управление групповой политикой в области переходов сервера DC1 щелкните правой кнопкой мыши пункт OU1 и выберите команду Связать существующий объект GPO.
В списке Объекты групповой политики выберите пункт TestGPO и нажмите кнопку ОК.
Описанная ниже процедура позволяет убедиться, что клиентский компьютер получил и применил новые параметры объекта групповой политики.
Откройте на компьютере DC2 командную строку администратора.
В окне командной строки введите команду gpupdate /force и нажмите клавишу ВВОД. Не переходите к следующему этапу, пока не завершится выполнение команды.
Чтобы убедиться в правильном применении объекта групповой политики, выполните команду gpresult /r /scope computer. Найдите в результатах выполнения команды раздел Примененные объекты групповой политики. Убедитесь, что в этом разделе содержатся пункты TestGPO и Политика домена по умолчанию.
Проверьте доступными Вам способами, что параметры групповой политики действительно применились и ПРОДЕМОНСТРИРУЙТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ.
Контрольные вопросы
Перечислите объекты AD DS, которые Вы знаете. Какие из них имеют SID?
В чем разница между подразделением и группой?
К каким объектам может привязываться групповая политика? Каков порядок применения групповой политики?
Каким образом можно инициировать применение групповой политики на компьютере?
Какие Вы знаете способы узнать точные параметры групповой политики, применяемые к компьютеру и пользователю