|
После установки Active Directory можно приступить к со- зданию объектов и управлению ими.
Создание подразделений и объектов в них
Создание организационных подразделений (ОП)
ОП можно создать в рамках домена, объекта Domain Con- troller или другого ОП (рис. 6.3). В созданное ОП можно добав- лять объекты.
Для создания ОП необходимо обладать полномочиями по добавлению подразделений в родительское ОП, домен или узел Domain Controller, где будет создаваться ОП. По умолчанию та- кими полномочиями наделена группа Administrators (Админи- страторы).
Нельзя создавать ОП в большинстве стандартных контей- неров, таких как Computers или Users.
Рис. 6.3. ОП Кафедра ОТЗИ в узле Domain Controller
ОП создаются для упрощения администрирования сети. Структура ОП должна основываться на конкретных задачах ад-
министрирования. Вы можете легко изменять структуру ОП или перемещать объекты между ОП.
ОП создаются в следующих случаях:
чтобы предоставить административные полномочия другим пользователям или администраторам;
для группирования объектов, над которыми выполня- ются сходные административные операции; это облегчает поиск сходных сетевых ресурсов и их обслуживание — так, можно объединить в одном ОП все объекты User для временных слу- жащих;
для ограничения видимости сетевых ресурсов в храни- лище Active Directory пользователи увидят только те объекты, к которым имеют доступ; разрешения для ОП можно легко изме- нить, ограничив доступ к конфиденциальной информации.
Добавление объектов в ОП
Для добавления объектов в ОП Вы должны обладать в нем соответствующими полномочиями. По умолчанию такие права предоставлены группе Administrators. Разновидности со- здаваемых объектов зависят от правил схемы, используемого мастера или оснастки. Некоторые атрибуты объекта можно определить только после его создания.
Управление объектами Active Directory
Управление объектами Active Directory включает поиск объектов, их изменение, уничтожение или перемещение. В двух последних случаях надо иметь соответствующие разрешения для объекта или для ОП, куда Вы перемещаете объект. По умол- чанию данными полномочиями обладают все члены группы Ad- ministrators.
Поиск объектов
Глобальный каталог (ГК) содержит частичную реплику всего каталога и хранит информацию обо всех объектах в дереве доменов или лесе. Поэтому пользователь может найти объект независимо от его расположения в домене или лесе. Содержание ГК автоматически генерируется по сведениям из доменов, со- ставляющих каталог.
Для поиска объектов откройте оснастку Active Directory Users And Computers, ярлык которой находится в группе про- грамм Administrative Tools. В дереве консоли щелкните правой кнопкой мыши домен или ОП и выберите в контекстном меню команду Find (Найти). Откроется диалоговое окно Find (Поиск) (рис. 6.4).
Рис. 6.4. Диалоговое окно Find (Поиск)
Если Вы раскроете контекстное меню объекта Shared folder (Общая папка) и выберете команду Find (Найти), будет запущена функция поиска Windows Explorer, и Вы сможете искать в общей папке файлы и подпапки.
Диалоговое окно Find включает параметры поиска в ГК, позволяющие находить учетные записи, группы и принтеры.
Изменение значений атрибутов и удаление объектов
Чтобы изменить значения атрибута, откройте оснастку Ac- tive Directory Users And Computers и выберите экземпляр объек- та. В меню Action (Действие) выберите команду Properties (Свойства). В диалоговом окне свойств объ-
екта измените нужные атрибуты объекта. Затем внесите поправ- ки в описание объекта, например, модифицируйте объект User, чтобы изменить имя, местоположение и электронный адрес пользователя. Если объекты больше не нужны, удалите их в це- лях безопасности: открыв оснастку Active Directory Users And Computers, выделите экземпляр удаляемого объекта, а затем в меню Action (Действие) выберите команду Delete (Удалить).
Перемещение объектов
В хранилище Active Directory можно перемещать объекты, например между ОП, чтобы отразить изменения в структуре предприятия при переводе сотрудника из одного отдела в дру- гой. Для этого, открыв оснастку Active Directory Users And Com- puters, выделите перемещаемый объект, в меню Action (Действие) выберите команду Move (Переместить) и укажите новое местоположение объекта.
Управление доступом к объектам Active Directory
Для контроля доступа к объектам Active Directory приме- няется объектно-ориентированная модель защиты, подобная мо- дели защиты NTFS.
Каждый объект Active Directory имеет дескриптор без- опасности, определяющий, кто имеет право доступа к объекту и тип этого доступа. Windows Server использует дескрипторы без- опасности для управления доступом к объектам.
Для упрощения администрирования можно сгруппировать объекты с одинаковыми требованиями безопасности в ОП и назначить разрешения доступа для всего ОП и всех объектов в нем.
Управление разрешениями Active Directory
Разрешения Active Directory обеспечивают защиту ресур- сов, позволяя управлять доступом к экземплярам объектов или атрибутам объектов и определять вид предоставляемого доступа.
Do'stlaringiz bilan baham: |
