Настройка контроллеров домена в разных подсетях

Данная статья посвящена основам операционной системы Microsoft Windows Server 2003. Здесь мы рассмотрим:

Контроллеры домена и рядовые серверы

При установке Windows Server 2003 систему можно конфигурировать как рядовой сервер, контроллер домена или изолированный сервер. Различия между этими типами серверов чрезвычайно важны. Рядовые серверы являются частью домена, но не хранят информацию каталога. Контроллеры домена хранят данные каталога и выполняют службы аутентификации и каталога в рамках домена. Изолированные серверы не являются частью домена и имеют собственную БД пользователей, поэтому изолированный сервер также аутентифицирует запросы на вход.

Windows Server 2003 не различает основные и резервные контроллеры домена, так как поддерживает модель репликации с несколькими хозяевами. В этой модели любой контроллер домена может обрабатывать изменения каталога и затем автоматически реплицирует их на другие контроллеры домема. В модели репликации с одним хозяином в Windows NT все происходит не так: основной контроллер домена хранит главную копию каталога, а резервные — ее копии. Кроме того, Windows NT распространяет только БД диспетчера учетных записей безопасности (security access manager, SAM), a Windows Server 2003 — весь каталог информации, называемый хранилищем данных (datastore). В нем есть наборы объектов, представляющие учетные записи пользователей, групп и компьютеров, а также общие ресурсы, например серверы, файлы и принтеры.

Домены, в которых применяются службы Active Directory, называют доменами Active Directory, чтобы отличать их от доменов Windows NT. Хотя Active Directory работает только с одним контроллером домена, в домене можно и нужно создать дополнительные контроллеры. Если ОДИН контроллер выходит из строя, для выполнения аутентификации и других важных задач можно задействовать другие.

В домене Active Directory любой рядовой сервер разрешается повысить до уровня контроллера домена без переустановки ОС, как того требовала Windows NT. Для превращения рядового сервера в контроллер следует лишь установить на него компонент Active Directory. Возможно и обратное действие: понижение контроллера домена до рядового сервера, если он не является последним контроллером домена в сети. Вот как повысить или понизить уровень сервера посредством мастера установки Active Directory.

Управление контроллерами домена в Active Directory

Работа с контроллером домена

Компьютеры под управлением Windows Server 2003 могут вы­ступать в роли рядового сервера (member server) или контрол­лера домена (domain controller, DC). Хотя все, что обсуждалось в предыдущих разделах этой главы, применимо к любому типу учетной записи компьютера, содержание данного раздела от­носится только к контроллерам домена.

Установка и удаление контроллеров домена

Контроллеры домена выполняют массу важных задач в доме­нах Active Directory. Рядовой сервер можно сделать контрол­лером домена через команду DCPROMO, которая устанавли­вает службы каталогов и назначает рядовой сервер на роль контроллера домена. Если вы запустите DCPROMO второй раз, то вернете контроллеру домена роль рядового сервера.

Поиск контроллеров домена в Active Directory

Если вы хотите работать исключительно с учетными запися­ми контроллеров домена, а не всех компьютеров, используйте команды DSQUERY server и DSGET server. По умолчанию DSQUERY server ведет поиск в вашем домене входа.

Читайте также:  Интеграция WSUS Offline Updater с MDT 2013 при установке Windows 10

Факти­чески, если вы просто наберете в командной строке dsquery server и нажмете Enter, то получите список всех контроллеров домена, к которому вы подключены.

Если нужно, укажите до­мен для поиска через параметр -Domain, например:

  • dsquery server -domain

Здесь вы получаете список все контроллеров домена Если вам требуется список всех контроллеров до­менов в целом лесу, введите dsquery server -forest.

Во всех этих примерах вы получаете список DN контролле­ров домена.

В отличие от DN, с которыми мы имели дело ра­нее, эти DN включают сведения о конфигурации сайта, скажем: “CN=C0RPSVR02,CN=Servers,CN=Default-First-Site-Name, CN=Sites, CN=Configuration,DC=site1,DC=com”

Эти дополнительные сведения предоставляются командой DSQUERY server и описывают сайт, где находится сервер. Помните, что домены могут охватывать несколько физических мест, и вы сообщаете Active Directory о них через сайты и под­сети. В этом примере показывается сайт Default-First-Site-Na­me в контейнере Sites().

Как и в случае команд, ориентированных на операции с ря­довыми компьютерами, DSQUERY server и DSGET server луч­ше использовать совместно. DSQUERY server позволяет полу­чить DN одного или нескольких контроллеров домена, а затем передать вывод в DSGET server для отображения свойств со­ответствующих учетных записей. Выводимые свойства опреде­ляются следующими параметрами.

  • Dn — выводит DN (составные имена) контроллеров доме­на, отвечающих критериям поиска.
  • Desc — выводит описание контроллеров, удовлетворяющих критериям поиска.
  • Dnsname — выводит полное доменное имя (FQDN) кон­троллера домена.
  • iSgC _ выводит значение Yes или No, указывающее, явля­ется ли контроллер домена еще и сервером глобального ка­талога.
  • Например, если вам нужна детальная сводка обо всех кон­троллерах доменов в лесу, введите команду:

    • dsquery server -forest | dsget server -desc -dnsname -isgc

    Для сохранения этой информации прямо в файл измените команду так:

    • dsquery server -forest | dsget server -desc -dnsname -isgc >

    Просто о сложном

    Dmitry Bulanov Групповые политики, Windows Server 2008/2008 R2

    Введение

     Из моих статей, возможно, вы уже многое узнали о технологии групповой политики. Например, в статье «Управление групповыми политиками в организации. Часть 2» были подробно расписаны связи объектов групповой политики, а в статье «Управление групповыми политиками в организации.

    Часть 3» было рассказано о приоритетах объектов GPO и о делегировании разрешений для объектов групповой политики.

    Соответственно, вы помните, что приоритет объекта групповой политики определяет, какой параметр политики будет применен к клиенту, а именно то, что если вы создадите объекты групповой политики и привяжите их к сайту, домену и подразделениям, то эти объекты GPO будут наследоваться на подразделения более низкого уровня, где объект GPO с более высоким приоритетом, будет иметь привилегии над объектами групповой политики с более низким приоритетом. Другими словами, при запуске клиентского компьютера, клиент групповой политики анализирует размещение объекта компьютера или пользователя в Active Directory и применяет политики в следующем порядке: объекты GPO, связанные с сайтом, затем с доменом, после чего с родительским подразделением первого уровня, а потом с подразделением, где расположен объект пользователя или компьютера. Кумулятивным результатом такого применения объектов групповой политики называется наследование политики. Но ни в одной статье не было рассказано о таком важном свойстве, как блокирование наследования, о чем, собственно, и пойдет речь в данной небольшой статье.

    Читайте также:  Защита публичных Wi-Fi-точек от вредного контента при помощи SkyDNS

    Больше

    Dmitry Bulanov Групповые политики, Предпочтения групповой политики, Windows 7, Windows Server 2008/2008 R2

    Архитектура результирующей групповой политики

    Многие из вас уже не раз пользовались возможностями результирующей групповой политики (RSoP) и знают о том, что данная возможность обеспечивает удаленный метод определения применения объектов групповой политики к пользователю или компьютеру с учетом блокирования наследования, всех связей, включая принудительные, а также фильтры безопасности и фильтрации WMI. Также, ни для кого не окажется секретом, что результирующая политика может работать в двух режимах: режиме журналирования (также называемым режимом протоколирования или входа) и режиме планирования. Режим журналирования позволяет вам работать с отчетом по результатам применения параметров групповой политики к существующему пользователю или компьютеру. Этот режим доступен для любой операционной системы Windows, начиная с Windows XP. В свою очередь, режим планирования позволяет имитировать результаты политики, основываясь на анализе «что-если», которые могут быть применены в будущем к конкретному пользователю или компьютеру на основании указанных вами переменных. Данный режим целесообразно применять в том случае, если планируете переместить пользователя или компьютер между сайтами, доменами или подразделениями, а также в том случае, если у пользователя будет изменена группа безопасности, под область которой попадает целевой объект Active Directory.

    Больше

    Dmitry Bulanov Групповые политики, Совет недели, Windows 7, Windows Server 2008/2008 R2

    Вот и подходит к концу десятая неделя 2011 года, а это означает, что на моем блоге вас ждет десятый, юбилейный, совет недели по групповым политикам.

    С начала этого года я еженедельно публикую небольшие статьи, из которых вы можете узнать о том, как можно задать вашим пользователям определенные ограничения при помощи функционала групповых политик, а именно административных шаблонов.

    В предыдущих девяти советах недели было рассмотрено использование настраиваемого фона входа в систему, настройка экрана входа в систему пользователей, предопределение языковых стандартов, журналирование брандмауэра Windows в режиме повышенной безопасности, ограничения проводника Windows, настройка персонализации, настройка групповых политик, управление электропитанием, а также настройка удаления программ и компонентов Windows. Также хотелось бы отметить тот момент, что в предыдущих статьях было рассмотрено изменение 44 параметров групповой политики, расположенных в узле «Административные шаблоны», а также были вкратце рассмотрены некоторые параметры групповой политики брандмауэра Windows в режиме повышенной безопасности, которые можно найти в узле «Конфигурация Windows» родительского узла «Конфигурация компьютера». Пожалуй, единственный совет недели, который не полностью раскрыл все настройки параметров групповой политики по своей теме, был совет недели №8, где рассматривались параметры управления электропитанием. В этой статье были рассмотрены узлы «Параметры экрана и видео», а также «Параметры уведомления».

    Больше

    Dmitry Bulanov Active Directory, Групповые политики, Планирование Active Directory, Windows Server 2008/2008 R2

    Создание доменного пользователя и ввод компьютера в домен

    4 минуты чтения

    В прошлой статье мы создали и настроили контроллер домена (DC), настало время наполнить наш домен пользователями и рабочими станциями.

    Читайте также:  Как вернуть Windows 7 после установки Windows XP?

    Конфигурация

    Открываем Server Manager и выбираем опцию Roles.

    Из доступных ролей выбираем недавно установленную — Active Directory Domain Services, далее Active Directory Users and Computers и находим созданный нами домен (в нашем случае — ). В выпадающем списке объектов находим Users и кликаем по данной опции правой кнопкой мыши и выбираем New → User.

    Отметим также, что вы можете создать свою группу и добавлять пользователей туда.

    Перед нами откроется окно добавления нового пользователя. Заполняем учетные данные нового пользователя. Как правило, в корпоративных доменах, принято создавать именные учетные записи для того, чтобы в дальнейшем можно было отслеживать действия конкретного пользователя в целях безопасности и однозначно его идентифицировать.

    Далее, нас просят ввести пароль для новой учетной записи и выбрать дополнительные опции:

    • User must change password at next logon — при включении данной опции, пользователя попросят сменить пароль при следующем логине;
    • User cannot change password — пользователь не сможет самостоятельно изменить свой пароль;
    • Password never expires — срок действия пароля пользователя никогда не истечет;
    • Account is disabled — учетная запись пользователя будем отключена и он не сможет залогиниться с доменными учетными данными, даже если они будут введены верно.

    После того, как все данные будут заполнены, нас попросят подтвердить создание нового объекта.

    Отлично, новый пользователь домена создан. Теперь нам нужно зайти на компьютер пользователя и ввести его в домен. Для этого логинимся на компьютер пользователя с локальными учетными данными и открываем Свойства компьютера. Как видите, наш компьютер пока еще не стал частью домена, он ещё является частью рабочей группы WORKGROUP/. Убедитесь, что компьютер пользователя имеет версию Windows не ниже Professional. Чтобы ввести его в домен выбираем Change Settings

    Важно! Поддержка доменной инфраструктуры начинается только с версии Windows Professional. На версиях Starter, Home Basic, Home Premium подключиться к домену не получится!

    Далее напротив опции «To rename this computer or change its domain or workgroup, click Change» нажимаем собственно Change

    Важно! Для того, чтобы наш компьютер узнал о существующем контроллере домена нам нужно указать ему на DNS сервер, который имеет такую информацию. В нашем случае – контроллер домена является по совместительству DNS сервером для пользовательских машин. Поэтому мы указываем контроллер домена в качестве DNS сервера для настраиваемого компьютера.

    Далее в открывшемся окне в опции «Member of» вместо Workgroup выбираем Domain и вводим имя нашего домена (в нашем случае – )

    Далее нас попросят ввести учетные данные для учетной записи, которая уже создана и имеет право присоединиться к домену. Вводим учетные данные ранее созданного пользователя.

    Если все было сделано корректно, то мы увидим сообщение, свидетельствующее о том, что наш компьютер теперь является частью домена (в нашем случае — )

    После чего, нас попросят перезагрузить компьютер для применения изменений.

    После перезагрузки, мы можем логиниться уже с учетными данными доменного пользователя.

    Теперь, если мы откроем свойства компьютера, то увидим, что наш компьютер принадлежит домену (в нашем случае – )