Лабораторная работа №5. HАИМЕНОВАНИЕ:Служба каталогов Active Directory.
HАИМЕНОВАНИЕ:Служба каталогов Active Directory.
1.ЦЕЛЬ РАБОТЫ: 1.1. Познакомиться со службой каталогов Active Directory. 1.2. Получить практический навык установки первого контроллера в домене (лесе).
2.ЛИТЕРАТУРА: 2.1. http://www.iz-news.ru/lect/08/ - Служба каталогов Active Directory 2.2.
3.ПОДГОТОВКА К РАБОТЕ: 3.1. Изучить предложенную литературу. 3.2. Подготовить бланк отчёта.
4. ОСНОВНОЕ ОБОРУДОВАНИЕ:
5. СОДЕРЖАНИЕ ОТЧЕТА: 5.1. Наименование и цель работы. 5.2. Ответы на контрольные вопросы. 5.3. Описание выполненной практической работы на ПК. 5.4. Выводы о проделанной работе.
6. КОНТРОЛЬНЫЕ ВОПРОСЫ: 6.1. Дайте определение: служба каталогов Active Directory.Какие задачи она выполняет? 6.2. Как связана служба каталогов NTDS с Active Directory? 6.3. Что такое в Active Directory: сфера влияния, пространство имен, объект, контейнер, дерево, имя, контексты имен и разделы, домены, дерево доменов? 6.4. Как проверить настройки параметров протокола TCP/IP 6.5. Какие настройки параметров TCP/IP должны быть у первого компьютера в каждой паре? 6.6. Как проверить настройки службы DNS? 6.7. Какие настройки службы DNS должны быть у первого компьютера в каждой паре? 6.8. Как запустить мастер создания контроллера домена? 6.9. Запишите варианты создания нового домена. 6.10. Как преобразовать DNS-зону, соответствующую вашему домену AD, из ADинтегрированной в стандартную основную? 6.11. Как отключить строгие политики доступа? Когда этого делать не разрешено? Когда можно? 6.12. Как разрешить локальный вход в систему группе " Пользователи домена "? Когда этого делать не разрешено? Когда можно?
7. ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ: 7.1. Зарисуйте схему «Каталог — поставщик услуг в системе» из Литературы 2.1. 7.2. Проверьте настройки параметров протокола TCP/IP, у первого компьютера в каждой паре должны быть такие настройки параметров TCP/IP: 1. IP-адрес и маска подсети - из таблицы распределения адресов и имен компьютеров 2. Предпочитаемый сервер DNS - ссылка на самого себя 3. Альтернативный сервер DNS - ссылка на второй компьютер в паре и компьютер преподавателя (если вы занимаетесь в компьютерном классе) 7.3. Проверьте настройки службы DNS, у первого компьютера в каждой паре должны быть такие настройки службы DNS 1. Зоны прямого просмотра - отсутствуют 2. Зоны обратного просмотра - зона для IP-сети компьютерного класса (стандартная основная, динамические обновления разрешены) 3. Сервер-пересыльщик (если вы занимаетесь в компьютерном классе) - компьютер преподавателя 7.4. Запустите мастер создания контроллера домена: Кнопка «Пуск» – «Выполнить» – ввести команду dcpromo 7.4.1.Нажмите "Далее". Появится предупреждение, что некоторые операционные системы не удовлетворяют требованиям безопасности, установленным в Windows 2003. 7.4.2. Нажмите "Далее" 7.4.3. Выберите тип контроллера домена:
7.4.4. Выберите первый вариант: "Контроллер домена в новом домене". Варианты создания нового домена: · Новый домен в новом лесу · Новый дочерний домен в существующем доменном дереве · Новое доменное дерево в существующем лесу Если вы работаете в классе с единым деревом доменов, то выберите второй вариант: "Новый дочерний домен в существующем доменном дереве" Если вы работаете в классе с изолированными лесами или изучаете курс самостоятельно, то выберите первый вариант: "Новый домен в новом лесу" 7.4.5. Введите полное имя вашего домена (из таблицы распределения адресов и имен компьютеров) Пример: world.ru NetBIOS-имя домена 7.4.6. Введите NetBIOS-имя вашего домена Пример: WORLD 7.4.7. Укажите папки для размещения файлов БД и журналов транзакций AD 7.4.8. Укажите папку для размещения системного тома (обязательно раздел с файловой системой NTFS) 7.4.9. Протестируйте службы DNS Мастер установки DNS не обнаружил сервера DNS, отвечающего необходимым требованиям и предлагает три варианты решения проблемы. 7.4.10. Выберите второй вариант: "Установить и настроить DNS-сервер на этом компьютере и выбрать этот DNS-сервер в качестве предпочитаемого DNS-сервера" 7.4.11.Выберите первый вариант: "Разрешения, совместимые с серверами предWindows 2000" 7.4.12. Введите пароль администратора для входа в систему при работе в режиме восстановления служб каталогов 7.4.13. Изучите сводку выбранных вами параметров установки контроллера домена. Если что-то задано неверно, то можно вернуться к соответствующему шагу и сделать нужные исправления. Если все верно, нажмите кнопку "Далее" Мастер начнет создавать на компьютере контроллер домена. Завершение работы мастера 7.4.14. Перезагрузите компьютер по окончании работы мастера 7.5.Преобразуйте DNS-зону, соответствующую вашему домену AD, из ADинтегрированной в стандартную основную 7.5.1. Откройте консоль DNS. 7.5.2. Откройте Свойства созданных на вашем DNS-сервере зон (зоны вида world.ru и _msdcs.world.ru). 7.5.3. На странице Свойств для каждой зоны нажмите кнопку "Изменить" для параметра "Тип", убрать галочку в поле "Хранить зону в Active Directory", нажать "ОК" два раза. 7.5.4. Снова откройте Свойства зон, для параметра "Динамические обновления" задайте значение"Небезопасные и безопасные", нажмите "ОК", закройте консоль DNS. 7.6. Внимание! В реальной рабочей системе ни в коем случае не отключайте строгие политики доступа. В упражнении это делается только для изучения соответствующего материала. Отключите строгие политики учетных записей 1. Запустите консоль "Политика безопасности домена" 2. Раскрыть " Параметры безопасности " - " Политики учетных записей " - " Политика паролей " 3. Установить значения параметров: · "Мин. длина пароля" - 0 символов · "Мин. срок действия пароля" - 0 дней · "Пароли должны отвечать требованиям сложности" - Отключен · "Требовать неповторяемости паролей" - 0 хранимых паролей 4. Примените политики безопасности: в командной строке ввести команду gpupdate. 7.7. Внимание! В реальной рабочей системе ни в коем случае не отключайте строгие политики доступа. В упражнении это делается только для изучения соответствующего материала. Разрешите локальный вход в систему группе " Пользователи домена " 1. Запустите консоль "Политика безопасности контроллеров домена" 2. Далее: " Параметры безопасности" – "Локальные политики" – "Настройка прав пользователей" – "Локальный вход в систему" 3. Добавьте группу " Пользователи домена " 4. Закройте все окна 5. Примените политики безопасности
Работу составил преподаватель Ходотова Е.А.
ПРИЛОЖЕНИЕ Сфера влияния Сфера влияния службы каталогов велика: любые объекты (пользователи, файлы, принтеры и др.), серверы в сети, домены и даже глобальные сети. А раз так, напрашивается вывод: возможности такой службы каталогов, как AD, практически безграничны, что делает ее полезной на отдельном компьютере, в большой сети, и в нескольких сетях. Пространство имен Как и любой каталог, Active Directory представляет собой некоторое пространство имен, то есть некоторую область, в которой данное имя может быть разрешено. Под разрешением имен понимается процесс, позволяющий сопоставить имя с объектом, ему соответствующим, или с информацией о таком объекте. К примеру, в файловой системе имя файла разрешается в расположение файла на диске. Объект Контейнер
На рисунке внешний вид дерева показывает взаимосвязи между объектами. Имя Имена используются для идентификации объектов в Active Directory. Существует два вида имен: отличительное имя DN (distinguished name) и относительно отличительное имя RDN (relatively distinguished name). Отличительное имя объекта содержит имя домена, в котором находится объект, а также полный путь к этому объекту в иерархии контейнера. Например, отличительное имя для идентификации пользователя Fyodor Zubanov в домене MicrosoftAO.RU будет выглядеть следующим образом: /0=Internet/DC=RU/DC=MiсrosoftAO/CN=Users/CN=Fyodor Zubanov Относительное отличительное имя объекта — часть отличительного имени, являющаяся атрибутом объекта. В приведенном примере таковым для объекта пользователя Fyodor Zubanov является CN=Fyodor Zubanov, a RDN его родительского объекта — CN=Users. Контексты имен и разделы Active Directory состоит из одного или нескольких контекстов имен или разделов. Контекст имени — это любое смежное поддерево каталога. Контексты имен являются единицами тиражирования. Для любого одиночного сервера всегда есть три контекста имен:
Домены Домены, как указывалось выше, являются организационными единицами безопасности в сети. Active Directory состоит из одного или нескольких доменов. Рабочая станция является доменом. Домен может охватывать несколько физических точек. В каждом домене — своя политика безопасности; отношения домена с другими также индивидуальны. Домены, объединенные общей схемой, конфигурацией и глобальным каталогом, образуют дерево доменов. Несколько доменных деревьев могут быть объединены в лес. Дерево доменов
|
Дерево 
