Практическая работа.

Тема. Настройка учетной политики. Регистрация компьютеров для подключения к домену.

Цель. Научиться присоединять компьютер к домену; управлять учетными записями компьютеров в службе каталогов Microsoft Active Directory.

Оборудование. Компьютер под управлением Windows Server 2003 Standard, установленный как Server01 и настроенный в качестве контроллера домена ; консоль Active Directory — пользователи и компьютеры; два компьютера под управлением Microsoft Windows XP.

Теоретическое обоснование.

Как и пользователю, компьютеру можно присвоить учетную запись с именем и паролем, при помощи которой будет создана безопасная связь этого компьютера с доменом и которая также может потребовать смены пароля или отключения.

В этой практической работе рассказывается, как создавать объекты компьютеров, включающие параметры безопасности, необходимые для использования этих объектов в качестве «учетных записей», и управлять ими при помощи графического интерфейса пользователя (graphical user interface, GUI) оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers), а также мощных средств командной строки Microsoft Windows Server 2003. Также здесь описан процесс присоединения компьютера к домену, чтобы вы научились определять потенциальные источники ошибок, эффективнее устранять неполадки и восстанавливать учетные записи компьютеров.

Присоединение компьютера к домену.

В стандартной конфигурации Windows Server 2003 и всех ОС Microsoft Windows компьютер принадлежит какой-либо рабочей группе (workgroup). В рабочей группе компьютер на базе Windows NT (включая Windows NT 4, 2000, XP и Windows Server 2003) может проверять подлинность пользователей только из своей локальной БД диспетчера учетных записей безопасности (Security Accounts Manager, SAM). Такая система автономна во всех смыслах. Принадлежность к рабочей группе позволяет лишь видеть список компьютеров своей группы в Проводнике. Хотя пользователь такого компьютера и может подсоединяться к общим ресурсам на других машинах в рабочих группах или доменах, он на самом деле не входит в систему под доменной учетной записью.

НЕ нашли? Не то? Что вы ищете?

Чтобы пользователь входил в систему под доменной учетной записью, компьютер должен принадлежать какому-нибудь домену: необходимо создать учетную запись компьютера и настроить его для присоединения к домену по этой учетной записи, чему и посвящено это занятие.

Учетная запись компьютера, как и учетная запись пользователя, содержит имя, пароль и идентификатор безопасности (security identifier, SID). Эти свойства встроены в класс объекта компьютера в Active Directory. Подготовка к включению компьютера в домен, таким образом, очень похожа на подготовку объекта пользователя для добавления в домен: вам нужно создать в Active Directory объект компьютера.

Создание учетных записей компьютеров.

Для создания объекта компьютера в Active Directory необходимо быть членом групп Администраторы (Administrators) или Операторы учета (Account Operators) на контроллерах домена. Члены групп Администраторы домена (Domain Admins) и Администраторы предприятия (Enterprise Admins) по умолчанию являются участниками группы Администраторы (Administrators). Также можно делегировать административные права, чтобы другие пользователи или группы могли создавать объекты компьютеров.

Впрочем, пользователи домена также могут создавать объекты компьютеров косвенным путем. Когда компьютер присоединяется к домену, а учетная запись еще не создана, Active Directory по умолчанию автоматически создает объект компьютера в контейнере Computers. Каждому пользователю из группы Прошедшие проверку (Authenticated Users) (то есть всем пользователям) разрешается присоединять к домену до 10 компьютеров и, следовательно, создавать до 10 объектов компьютеров.

Присоединение компьютера к домену.

Собственно учетной записи компьютера недостаточно для создания необходимых безопасных отношений между доменом и компьютером. Компьютер нужно присоединить к домену.

1. Щелкните правой кнопкой Мой компьютер (My Computer) и выберите Свойства (Properties). Перейдите на вкладку Имя компьютера (Computer Name).

• В Панели управления выберите Система (System) и в диалоговом окне Свойства системы (System Properties) перейдите на вкладку Имя компьютера (Computer Name).

• Откройте окно свойств Имя компьютера (Computer Name). К свойствам компьютера на этой вкладке можно получить доступ несколькими способами.

Примечание В Windows 2000 вкладка Имя компьютера (Computer Name) называется Сетевая идентификация (Network Identification), а кнопка Изменить (Change) — Свойства (Properties). Тем не менее, работают они одинаково.

2. В Панели управления откройте Сетевые подключения (Network Connections) и в меню Дополнительно (Advanced) выберите Сетевая идентификация (Network Identification).

3. На вкладке Имя компьютера (Computer Name) щелкните кнопку Изменить (Change). Диалоговое окно Изменение имени компьютера (Computer Name Changes) позволяет изменить имя компьютера и его принадлежность к домену и рабочей группе (рисунок 1).

Примечание Нельзя изменять имя компьютера или его членство, если вы вошли в систему не с администраторскими реквизитами. Кнопка Изменить (Change) доступна только пользователям из локальной группы Администраторы (Administrators).

Рисунок 1. Диалоговое окно Изменение имени компьютера

4. В окне Изменение имени компьютера (Computer Name Changes) установите переключатель в положение домена (Domain) и введите нужное имя домена.

Совет Хотя нужный домен обычно можно найти по «плоскому» NetBIOS-имени, возьмите за правило вводить DNS-имя целевого домена. Конфигурация DNS жизненно важна для компьютера с Windows 2000/XP или Windows Server 2003. Используя для домена DNS-имя, вы активизируете предпочтительный процесс разрешения имен и проверяете конфигурацию DNS на данном компьютере. Если компьютер не сможет найти домен, к которому вы пытаетесь присоединить его, проверьте правильность параметров DNS-сервера, заданных в свойствах сетевого подключения.

5. Щелкните ОК. Компьютер попытается связаться с контроллером домена. Если связаться с доменом не удается, проверьте сетевые подключения и их параметры, а также конфигурацию DNS.

Когда компьютер успешно свяжется с доменом, появится приглашение (рисунок 2) для ввода имени пользователя и пароля, у которого есть привилегии присоединять компьютер к домену. Заметьте: запрошенные имя и пароль — это доменное имя и пароль.

Рисунок 2. Запрос реквизитов пользователя для присоединения компьютера к домену

Если в домене заранее не была создана учетная запись компьютера с тем же именем, по умолчанию Active Directory автоматически создаст такую учетную запись в контейнере Computers. После того как доменная учетная запись компьютера найдена или создана, компьютер установит доверительные отношения с доменом, изменит свой SID, чтобы он совпадал с SID этой доменной учетной записи, и изменит свое членство в группах. Для завершения процесса компьютер необходимо перезагрузить.

Ход работы.

Для этого упражнения необходимы два клиентских компьютера Comp1 и Comp2 с установленными операционными системами Microsoft Windows XP.

Для того, чтобы присоединить клиентские компьютеры к домену необходимо выполнить следующие действия:

1.  Войдите в систему на сервере Server01 как Администратор (Administrator).

2.  Убедитесь, что сервер Server01 является контроллером в домене Active Directory с именем contoso.com. Для этого откройте консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Убедитесь, что домен создан: раскройте его и найдите учетную запись компьютера для Server01 в ОП Domain Controllers.

3.  Для обеспечения получения компьютерами-клиентами динамических IP-адресов проведём настройку DHCP-сервера. Для этого откройте консоль DHCP-сервер (DHCP Server) и выберите вкладку Область [192.168.0.0] Scope1 / Пул адресов. Чтобы компьютеры клиенты получали определенные IP-адреса, принадлежащие сети, в которой находится сервер, необходимо создать область IP-адресов. Для этого щелкнуть правой кнопкой по Область [192.168.0.0] Scope1 и в контекстном меню выбрать Свойства. В открывшемся окне вводим начальный и конечный IP-адреса диапазона адресов описывающих область (выбрали диапазон 192.168.0.10 – 192.168.0.20).

4.  Щелкнем правой кнопкой по Пул адресов и в контекстном меню Диапазон исключений вводим адрес 192.168.0.11, который не будет предоставляться при запросе компьютеров-клиентов.

5.  Войдите в систему на клиентских компьютерах Comp1 и Comp2. Эти компьютеры должны получить IP-адреса из настроенной области (192.168.0.10 – 192.168.0.20).

6.  Для добавления клиентских компьютеров в домен contoso.com откройте вкладку Имя компьютера (Computer Name). Для этого щелкнем правой кнопкой по значку Мой компьютер (My Computer) и в контекстном меню выберем Свойства (Properties) , в появившемся окне Свойство системы (System Properties) откроем нужную нам вкладку.

7.  Щелкните Изменить (Change).

8.  Установите переключатель в положение домена (Domain) и введите DNS-имя домена: .

9.  Щелкните ОК.

10.  По запросу введите имя и пароль учетной записи администратора домена .

11.  Щелкните ОК.

12.  Вам будет предложено перезагрузить систему. Щелкайте ОК в ответ на все сообщения и закройте все диалоговые окна. Перезагрузите систему.

13.  С помощью утилит IPConfig и Ping произведите диагностику сетевого подключения и настройки компьютеров-клиентов. Какие IP-адреса были выделены сервером Server01 компьютерам-клиентам?

Содержание отчёта.

1.Тема.

2. Цель.

3.Ход работы:

3.1. Диалоговые окна присоединения компьютера к домену с пояснениями к ним.

4.Ответы на контрольные вопросы.

5. Выводы по работе.

Контрольные вопросы.

1. Каковы минимальные полномочия, необходимые для создания учетной записи компьютера с Windows Server 2003 в ОП в домене? Перечислите все этапы этого процесса. Считайте, что в Active Directory еще нет учетной записи для этого компьютера.

a. Администраторы домена (Domain Admins).

b. Администраторы предприятия (Enterprise Admins).

c. Администраторы (Administrators) на контроллере домена.

d. Операторы учета (Account Operators) на контроллере домена.

e. Операторы сервера (Server Operators) на контроллере домена.

f. Операторы учета (Account Operators) на данном сервере.

g. Операторы сервера (Server Operators) на данном сервере,

h. Администраторы (Administrators) на данном сервере.

2. Где в интерфейсе можно изменить членство компьютера под управлением Windows Server 2003 в домене?

a. Окно свойств Мой компьютер (My Computer).

b. Приложение Система (System) из Панели управления.

c. Консоль Active Directory пользователи и компьютеры (Active Directory Users And Computers).

d. Папка Сетевые подключения (Network Connections).

e. Приложение Пользователи (Users) из Панели управления.

3. Какие платформы можно присоединять к домену?

a. Windows 95.

b. Windows NT 4.

c. Windows 98.

d. Windows 2000.

e. Windows Me.

f. Windows XP.

g. Windows Server 2003.

4. Вы открываете объект компьютера, но на вкладке Операционная система (Operating System) его окна свойств нет никакой информации. Почему значения свойств не отображаются?

5. У руководителя есть ноутбук с именем TopDog, на котором установлена Windows XP. Нужно разрешить этому компьютеру присоединяться к домену и гарантировать, чтобы на этот компьютер распространялись групповые политики, привязанные непосредственно к ОП Desktops. Как достичь этой цели?

6. Почему на практике обычно создают в домене учетную запись компьютера до его присоединения к домену?