ЗАНЯТТЯ №6
Тема: Створення комп’ютерів та приєднання їх до домену Active Directory.
Мета заняття: Отримати практичні навички щодо створення об’єктів «комп’ютер» та приєднання їх до домену Active Directory як з використанням Graphic user interface, так і за допомогою засобів автоматизації адміністрування.
ЗАГАЛЬНІ ВІДОМОСТІ ЗА ТЕМАТИКОЮ ЗАНЯТТЯ
Комп'ютери в домені, як і користувачі, є прінципіаламі безпеці. Вони мають облікові записи і паролі. Перевірка їх достовірності виконується за допомогою домена. Комп'ютери можуть належати до груп, отримувати доступ до ресурсів і конфігуруватися груповою політикою.
Перед входом на комп'ютер за допомогою доменного облікового запису потрібно приєднати комп'ютер до домена. Для приєднання до домена комп'ютер повинен мати в своєму розпорядженні обліковий запис в домені, який, аналогічно призначеного для користувача обліковогозапису, містить ім'я входу (атрибут samaccountname), пароль і ідентифікатор безпеки (SID), який унікальним чином представляє комп'ютер в домені як принципал безпеки. Ці облікові дані дозволяють комп'ютеру проходіть перевірку достовірності в домені і створити безпечний зв'язок, за допомогою якого користувачі потім зможуть увійти до системи із застосуванням облікових записів домена.
У робочій групі кожна система підтримує сховище облікових записів користувачів і груп. Локальне сховище об'єктів ідентифікації на кожному комп'ютері називається базою даних диспетчера безпеки облікових записів SAM (Security Accounts Manager). Якщо користувач входить на комп'ютер робочої групи, система виконує перевірку достовірності цього користувача в своїй локальній базі даних SAM. Якщо користувач підключається до ще однієї системи, наприклад для здобуттядоступу до файлу, знов виконується перевірка достовірності користувача в сховищі об'єктів ідентифікації видаленої системи. Відносно безпеки, комп'ютер робочої групи по всіх параметрах - незалежна автономна система. Комп'ютер, що приєднується до домена, делегує йому
2
завдання перевірки достовірності користувачів. Хоча комп'ютер продовжує підтримувати свою базу даних SAM облікових записів локальних користувачів і груп, облікові записи користувачів, як правило, створюватимуться у центральному каталозі домена. Користувач, що входить на комп'ютер за допомогою доменного облікового запису, тепер проходіт перевірку достовірності на контроллері домена, а не в базі даних SAM. Іншими словами, комп'ютер довіряє контроллеру домена ідентифікацію користувача.
Для приєднання до домена Active Directory комп'ютер повинен відповідати трьом вимогам:
-у службі каталогів має бути створений об'єкт комп'ютера;
-Ви повинні мати відповідні дозволи доступу до об'єкту комп'ютера, включаючи право приєднання до домена комп'ютера;
-щоб змінити членство комп'ютера в домені або робочій групі, потрібно бути членом локальної групи Адміністратори (Administrators).
Перед створенням об'єкту комп'ютера в службі каталогів (перше з трьох вимог для приєднання комп'ютера до домена) потрібно визначитися з контейнером, в який буде поміщений цей об'єкт. При створенні домена за умовчанням створюється контейнер Computers (Cn=computers...). Цей контейнер - не підрозділ, а саме об'єкт класу container. Між контейнером і підрозділом існує тонка, але важлива відмінність. У контейнері не можна створити підрозділ, і до контейнера не можна прив'язати об'єкт групової політики. Тому для управління комп'ютерами настійно рекомендується створювати підрозділи, а не використовувати контейнер Computers.
Більшість організацій створюють як мінімум два підрозділи для об'єктів комп'ютерів: один - для облікових записів комп'ютерів-клієнтів (настільні системи, ноутбуки і інші призначені для користувача системи) і один - для серверів. Ці два підрозділи доповнюють підрозділ DomainControllers, який створюється за умовчанням при установці Active Directory. Комп'ютери створюються в кожному з цих підрозділів. Між об'єктами комп'ютерів в підрозділі клієнтів і в підрозділі серверів або контроллерів домена жодної технічної різниці немає - вони у будь-якому випадку залишаються об'єктами комп'ютерів. Проте особливі підрозділи забезпечують унікальні області управління, щоб управління об'єктам клієнтів можна було делегувати одній
команді, а управління серверами - іншій команді адміністраторів. У
3
адміністративній моделі неминуче потрібно буде розподіляти клієнти і сервери по різних підрозділах.
Багато організацій створюють в підрозділі сервера дочірні підрозділи для управління конкретними типами серверів, наприклад один підрозділ для файлових серверів і серверів друку, другий - для серверів баз даних. Таким чином, команді адміністраторів кожного типа серверів можна делегувати управління об'єктами комп'ютерів у відповідному підрозділі. Аналогічним чином географічно розподілені організації з локальними командами підтримки часто розбивають батьківський підрозділ клієнтів на дочірні підрозділи для кожного сайту місцезнаходження. Цей підхід дозволяє команді підтримки кожного сайту створювати об'єкти комп'ютерів у вузлі для клієнтів і за допомогою цих об'єктів приєднувати комп'ютери до домена.
Таким чином, структура підрозділів повинна відповідати моделі управління, щоб підрозділи забезпечували окремі точки управління для делегування завдань адміністрування. Крім того, підрозділи дозволяють створювати різни типи конфігурації із застосуванням різних об'єктів групової політики GPO (Group Policy Object), прив'язуваних до підрозділів клієнтів і серверів. Групова політика, дозволяє вказати конфігурацію для підрозділу комп'ютерів шляхом прив'язки об'єктів GPO з інструкціями конфігурації до підрозділів.
ЗАВДАННЯ ДЛЯ ВИКОНАННЯ РОБОТИ
1.Створення підрозділів для об’єктів комп’ютерів клієнтів та серверів.
2.Створення об’єктів комп’ютерів.
3.Делегування дозволів на створення об’єктів комп’ютерів.
4.Перенаправлення контейнера комп’ютерів за замолчуванням.
5.Приєднання комп’ютера до домену.
6.Створення комп’ютерів за допомогою командного рядка та Power Shell.