Подготовка к установке Active Directory
advertisement
Подготовка к установке Active Directory Перед началом установки Active Directory необходимо произвести некоторые настройки на сервере на который вы планируете устанавливать Active Directory, в частности изменить имя сервера если это необходимо, и задать статические настройки TCP/IP для сетевого подключения, к которому подключена локальная сеть предприятия. Примечание: Первичный DNS сервер сервера с Active Directory должен быть адресом этого сервера, по умолчанию это адрес 127.0.0.1. Так же необходимо будет изменить настройки DHCP сервера, если он используется, либо статические настройки TCP/IP на рабочих станциях, так чтобы первичный DNS сервер был IP адресом сервера с Active Directory. Установка Active Directory на Windows Server 2008 Standard. Введение Существует 3 способа установить Active Directory, быстрый, средний и долгий, быстрый метод подразумевает под собой установку из командной строки и является единственным возможным для установки Active Directory на core версию windows server 2008, медленный метод почти не чем не отличается от среднего, который будет описан ниже, единственное отличие в том что добавление роли там происходит через мастер добавления ролей, а не через утилиту dcpromo. Установка Для запуска установки нажимаем Пуск – Выполнить – В поле «Открыть» пишем dcpromo.exe и нажимаем кнопку «ОК» После нажатия конпки «ОК» будет запущено автоматическое добавление роли Active Directory, которое после завершения откроет окно «Мастер установки доменных служб Active Directory». В открывшемся окне нажимаем «Далее» Нажать «Далее» Поставить точку напротив пункта «Создать новый домен в новом лесу» и нажать «Далее» На этом шаге мы вводим имя создаваемого домена. После того как вы написали имя домена, нажимаем «Далее» Примечание: Имя домена должно быть написано латинскими буквами, желательно чтобы оно не совпадало с существующими адресами в интернете и не заканчивалось на .RU, .COM и т.п. Для нашего варианта развертывания Active Directory мы выбираем режим работы леса: Windows Server 2008 и жмем кнопку «Далее» Не чего не меняем, нажимаем «Далее» Примечание: Если у одного из сетевых адаптеров IP адрес присваивается DHCP, мастер установки предложит назначить статический IP. Если вы уже назначали статические настройки сет. адаптеру который смотрит в локальную сеть предприятия то это сообщение можно проигнорировать и выбрать «Да, компьютер будет использовать динамически назначенный DHCP-сервером IP-адрес» В нашем случае действия не требуется, нажимаем «Да» Можно оставить все как есть и нажать «Далее» Задаем пароль для режима восстановления, пароль должен соответствовать политики паролей (пароль должен содержать не менее 8 символов, в нем должны присутствовать символы нижнего регистра, символы верхнего регистра и цифры). Примечание: Этот пароль понадобиться, если на сервере произойдет какой либо фатальный сбой и система не будет загружаться. Поэтому его стоит записать и положить в надежное место. После того как Вы задали пароль жмем «Далее» На этом шаге нам сообщается суммарная информация, которая была введена нами в процессе установки доменных служб. Вы можете экспортировать список параметров в текстовый файл для дальнейшего документирования. Перед тем как нажать «Далее» убедитесь что все настройки правильные, в следующих шагах кнопки назад уже не будет. Откроется окно применения настроек, ждем завершения настойки Active Directory и в открывшемся окне нажимаем готово, дальше нам предложит перезагрузить сервер, перезагружаем сервер. На этом установка Active Directory закончена. Создание пользователей, подразделений и т.п. Введение Перед тем как Вы начнете создавать пользователей нужно определится с тем, какие у Вас в компании будут подразделения, то есть как логически будут разделены пользователи. Подразделения нужны во-первых для порядка, кроме того к каждому подразделению можно применять отдельную групповую политику, поэтому сейчас Вы должны придумать, какие группы пользователи будут иметь разные ограничения на пользование компьютерами на которых они авторизуются. Управление пользователями, подразделениями, группами и компьютерами осуществляется через оснастку «Active Directory - пользователи и компьютеры» (Пуск – Администрирование - Active Directory - пользователи и компьютеры). Создание подразделений Заходим в оснастку «Active Directory - пользователи и компьютеры» Для того чтобы создать подразделение, нажимаем правой кнопкой по родительскому элементу (в примере это домен test.local) выбираем «Создать» в выпадающем меню нажимаем «Подразделение» В открывшемся окне пишем название подразделения, в примере это «Моя компания» и нажимаем «ОК». Примечание: Обратите внимание на галочку «Защитить контейнер от случайного удаления», если она установлена, вы не сможете переместить, переименовать или удалить это подразделение без дополнительных действий (описано в конце этой части). В подразделении «Моя компания» создайте необходимые подразделения. Для того чтобы создать подразделение в подразделении, нажимаем правой кнопкой по родительскому элементу (в примере это «Моя компания») выбираем «Создать» и в выпадающем меню нажимаем «Подразделение» В «Моей компании» были созданы 5 подразделений, администраторы, руководство, менеджеры, бухгалтерия и остальные. Удаление защищенных объектов Для того чтобы удалить, переименовать или переместить защищенное подразделение в оснастке «Active Directory - пользователи и компьютеры» заходим в меню «Вид» и нажимаем «Дополнительные параметры» Правой кнопкой мышки нажимаем по подразделению, с которого необходимо снять защиту, выбираем «Свойства», переходим на вкладку «Объект», снимаем галочку с «Защитить объект от случайного удаления», нажимаем «ОК» и выполняем тоже самое что делали в предыдущем шаге (заходим в меню «Вид» и нажимаем «Дополнительные параметры») После выполнения этих действий вы сможете удалить или изменить подразделение. Группы Введение Если вы планируете создать общие папки, с распределенными правами доступа, к примеру для бухгалтеров, общую папку бухгалтерия, к которой будет иметь доступ только бухгалтерия и руководство, вам будет удобнее создать Группы для каждого подразделения. Создание группы Создайте в каждом подразделении по группе с аналогичном названием, для того чтобы создать группу нажимаем правой кнопкой по подразделению – «Создать» – «Группа». Вводим имя группы и нажимаем «ОК» После того как Вы создали необходимые группы, настало время создать пользователей. Создание пользователей Введение Есть 2 варианта создания пользователей, 1 вариант это создание каждого пользователя по отдельности с добавление пользователя в группы, это имеет смысл, если кол-во пользователей не очень большое или большинство пользователей имеют разные атрибуты. Второй вариант это создание шаблона пользователя, который применяется для создания нового пользователя, то есть вам будет необходимо задать только имя, фамилию и логин, это будет удобно если Вам необходимо создать большое кол-во пользователей с одинаковыми параметрами. Создание шаблона пользователя Создаем шаблон пользователей для подразделения руководители, для этого на подразделении нажимаем правой кнопкой мышки, выбираем «Создать» и в выпадающем меню выбираем «Пользователь». Заполняем поля и жмем далее. Вводим пароль (пароль должен соответствовать политики паролей, минимум 8 знаков, состоять из цифр, больших и маленьких букв), для шаблона пользователей ставим галочки «Срок действия пароля не ограничен» и «Отключить учетную запись». Нажимаем «Далее», в следующем окне нажимаем «Готово» После того как мы создали пользователя, нажимаем по нему правой кнопкой и выбираем «Свойства». Переходим на вкладку «Член групп» и нажимаем «Добавить» В открывшемся окне пишем имя группы и нажимаем «ОК», закрываем свойства пользователя нажатием кнопки «ОК» Аналогичным образом Вы можете создать шаблоны пользователей для всех подразделений в компании. Создание пользователя из шаблона Копируем шаблон пользователя, для этого на созданном шаблоне нажимаем правой кнопкой мышки, выбираем «Копировать. Заполняем открывшееся окно и нажимам «Далее» Примечание: Для имени входа пользователей не рекомендуется использовать только одно имя или только одну фамилию, так как они часто могут совпадать. Вводим пароль (пароль должен соответствовать политики паролей, минимум 8 знаков, состоять из цифр, больших и маленьких букв), для шаблона пользователей ставим галочки «Срок действия пароля не ограничен», снимаем галочку с «Отключить учетную запись». Нажимаем «Далее», в следующем окне нажимаем «Готово» По аналогии создаем необходимых пользователей во всех подразделениях. Добавление компьютеров в домен Примечание: Если вы хотите изменить имя рабочей станции, то это следует сделать до добавления компьютера в домен. В противном случае рабочая станция добавится в домен под старым именем. Добавление рабочих станций под управлением Windows XP Пуск - Нажмите правой кнопкой мышки по пункту «Мой компьютер» в выпадающем меню выберите «Свойства» Перейдите на вкладку «Имя компьютера» и нажимаем «Изменить» Ставим точку напротив «Является членом домена» и вводим имя домена (в примере это test.local), затем нажимаем «ОК». Если всё было сделано правильно, то должно открыться окно ввода имени пользователя и пароля, вводим имя администратора домена и его пароль, нажимаем «ОК» После ввода пароля нам сообщается что компьютер успешно добавлен в домен и необходимо перезагрузить компьютер. Добавление рабочих станций под управлением Windows 7 Пуск – Нажимаем правой кнопкой мышки по пункту «Компьютер» - в выпадающем меню выберите «Свойства» В левом вертикальном меню нажимаем «Дополнительные параметры системы» Переходим на вкладку «Имя компьютера» и нажимаем «Изменить». Ставим точку напротив «Является членом домена» и вводим имя домена (в примере это test.local), затем нажимаем «ОК». Если всё было сделано правильно, Вы должны увидеть окно ввода имени пользователя и пароля, вводите имя администратора домена и его пароль, нажимаем «ОК» После ввода пароля нам сообщается что компьютер успешно добавлен в домен и необходимо перезагрузить компьютер. Сопоставление локальных профилей пользователей с пользователями домена Введение После того как вы добавили компьютер в домен и создали учетную запись пользователя, Вам может потребоваться сопоставить текущую учетную запись пользователя с той которую вы создали в домене. Это нужно для того чтобы не переносить в ручную все файлы и настройки старой учетной записи в созданную доменную запись. Для того чтобы начать сопоставление Вам нужно скачать утилиту - User Profile Wizard, найти ее можно по ссылке http://www.forensit.com/downloads.html Запускаем скаченное приложение и нажимаем «Далее» В поле «Enter the account name:» вписываем имя доменной учетной записи (в примере это iivanov), которая была создана для замены локальной. Выбираем локальный профиль, который нужно сопоставить с именем доменной учетной записи. В случае если вы хотите выключить локальную учетную запись, поставьте галочку напротив «Disable Account», если вы хотите удалить локальную учетную запись, поставьте галочку напротив «Delete account» (Не рекомендуется). После завершения нажмите «Далее» После того как на предыдущем шаге Вы нажали «Далее», начался процесс сопоставления. По завершению сопоставления учетных записей нажмите «Далее» и в следящем шаге нажмите «Готово» Процесс сопоставления успешно завершен, после перезагрузки вы сможете войти в систему под доменной учетной записью (в данном примере iivanov). Вход в компьютеры от имени доменного пользователя. После добавления компьютера в домен, тип вход в пользователей на данном компьютере немного изменяется. Для того чтобы войти под доменным пользователем имя пользователя следует писать в формате ИМЯ@ИМЯДОМЕНА Создание и управление групповыми политиками Введение Перед тем как Вы начнете создавать и настраивать ГП, следует спланировать что и для кого вы хотите ограничить или оставить. Так как ГП содержат огромное число политик, все их описать невозможно, да и не нужно, в каждой политике есть подробное описание ее действий. В этой части не будет досконального описания работы с ГП и конкретно решения на все случае жизни. Тем неимение будет описание типовых решений и основы управления ГП. Управление групповыми политиками осуществляется с помощью оснастки «Управление групповой политикой» (Пуск – Администрирование - Active Directory - Управление групповой политикой). Наследование групповых политик Введение Групповые политики имеют иерархическую структуру. Если рассматривать ее на примере, то политика которая применяется в подразделении «Моя компания» будет дополнять политики которые применятся для подразделений ниже (Администраторы, Бухгалтерия и т.д.). Наследование политики удобно в том случае если у вас есть общие политики для всех подразделений, например политики паролей которые применяются для всех подразделений. В случае если политики противоречат друг другу, будет применятся низшая политика, например, если в политике паролей, для подразделения «Моя компания», задано минимальное кол-во символов 7 а в групповой политике для подразделения «Администраторы» минимальное кол-во символов 10, для подразделения «Администраторы» будет применятся политика с ограничением в 10 символов. Отключение наследования политик Для того чтобы отключить наследование политики дочернего элемента, в оснастки «Управление групповой политикой», нажать правой кнопкой мышки, на подразделении для того подразделения, для которого Вы хотите отключить наследование, и выбрать пункт «Блокировать наследование» Создание групповой политики Для того чтобы создать групповую политику, открываем оснастку «Управление групповой политикой» и переходим в раздел «Объекты групповой политики», в поле с перечислением политик, на пустом месте нажимаем правой кнопкой мышки и выбираем «Создать» В поле «Имя» вводим имя создаваемой политики и нажимаем «ОК» Нажимаем правой кнопкой мышки по объекту групповой политики, выбираем «Изменить» Работа с редактором групповой политики 1. 2. 3. 4. Каталог политик в виде древовидной структуры. Политики в каталоге. Справка о действии политики. Варианты отображения, если выбран «Стандартный» то справка о действии политики скрывается. 1. Статус политики, Включение - Отключение политики. 2. Переход к следующей или предыдущей политике с сохранением выбранного статуса политики. 3. Справка по действиям политики. 4. Дополнительные параметры политики, если они есть. 5. Информация о том какими версиями операционной системы поддерживается даная политика. Политика паролей Переходим в «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политика учетных записей\Политика паролей\» Ограничиваем запуск файлов\программ Переходим в «Конфигурация пользователя\Политики\Конфигурация Windows\Параметры безопасности\Политики ограничения использования программ» Нажимаем правой кнопкой мышки по «Политики ограничения использования программ» и выбираем пункт «Создать политику ограниченного использования программ» Примечание: Эта политика запрещает выполнение файлов на компьютере, типы файлов перечисленных в «Назначенные типы». Это дополнительная защита от внесения изменения на компьютер а так же она не позволяет запустить установку программ. В правой части редактора ГП 2 раза щелкаем левой кнопкой мышки по «Назначенные типы файлов» в открывшемся окне находим расширение «LNK» и нажимаем удалить. Это нужно для того чтобы работали ярлыки. Нажимаем «ОК» Затем переходим в папку «Уровни безопасности», правой кнопкой нажимаем по «Запрещено» и выбираем «По умолчанию» В результате проделанных действий пользователь сможет запустить только те программы которые находятся в папке Program Files. Отключаем Консоль управления (MMC) Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Консоль управления (MMC)» Отключаем автозапуск со съемных носителей. Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Политики автозапуска» Ограничиваем доступ к планировщику заданий. Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Планировщик заданий» Отключаем общий сетевой доступ. Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Общий сетевой доступ» Установщик windows Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Установщик Windows» Настройка меню Пуск и панели задач Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\ Меню Пуск и панель задач» Общие папки Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\ Общие папки» Отключаем панель управления Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\Панель управления» 2 раза щелкаем по «Запретить доступ к панели управления» в открывшемся окне ставим точку напротив «Включить» и нажимаем «ОК» Настройка рабочего стола Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\Рабочий стол», настраиваем всё по вкусу, в зависимости от лояльности к пользователям, реальной необходимости в блокировке настроек персонализации нету. Включаем или отключаем автономные файлы Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\Сеть\Автономные файлы», если у Вас в компании не используются автономные файлы, то проставляем разрешение так же как на рисунке ниже, либо по своему усмотрению. Запрещаем изменение свойств сетевых подключений Переходим в «Конфигурация пользователя\Политики\Административные шаблоны\Сеть\Сетевые подключения», проставляем разрешение так же как на рисунке ниже, либо Вы можете что то сделать по другому. Аналогичным образом настраиваются необходимые ограничения, основные ограничения настраиваться в Конфигурация пользователя\Политики\Административные шаблоны После того как вы настроите все необходимые вам параметры, просто закройте редактор групповой политики. Привязка созданных групповых политик к подразделениям Для того чтобы привязать созданные на предыдущем шаге политики к подразделением нужно – правой кнопкой нажать на имя подразделения к которому мы хотим привязать ГП и выбрать «Связать существующий объект групповой политики…» В открывшемся окне выбрать созданную политику и нажать «ОК»
