 |
Создание подразделений компьютеров
|
|
|
|
Подключение рабочих станций к локальной сети на основе рабочей группы, домена
Компьютеры в домене, как и пользователи, являются принципалами безопасности. Они имеют учетные записи и пароли, которые система Microsoft Windows автоматически изменяет каждые 30 дней или около того. Проверка их подлинности выполняется с помощью домена. Компьютеры могут принадлежать к группам, получать доступ к ресурсам и конфигурироваться групповой политикой. Как и пользователи, компьютеры иногда теряют свои пароли, и тогда требуется производить сброс пароля, а также имеют учетные записи, которые нужно включать или отключать.
Управление компьютерами, которые, представляют собой объекты в доменных службах Active Directory (Active Directory Domain Services) и одновременно физические устройства, входит в повседневные обязанности большинства IT-профессионалов. В организации появляются новые системы, компьютеры отключаются от сети для ремонта, а также передаются пользователям или ролям, а старое оборудование удаляется или обновляется, в результате чего нужно приобретать новые или менять существующие системы. Все это требует управления идентификацией компьютера, представленного в качестве объекта или учетной записи.
Создание компьютеров и присоединение их к домену
В конфигураций Windows Server 2008 по умолчанию, как и в Microsoft Windows Server 2003, Windows Vista, Windows XP и Windows 2000, компьютер принадлежит к рабочей группе. Перед входом на компьютер с помощью доменной учетной записи нужно присоединить компьютер к домену. Для присоединения к домену компьютер должен располагать учетной записью в домене, которая, аналогично пользовательской учетной записи, содержит имя входа (атрибут sAMAccountName), пароль и идентификатор безопасности (SID), который уникальным образом представляет компьютер в домене как принципал безопасности. Эти учетные данные позволяют компьютеру проходить проверку подлинности в домене и создать безопасную связь, с помощью которой пользователи затем смогут войти в систему с применением учетных записей домена. Рассмотрим подготовку домена для присоединения нового компьютера, а также само присоединение компьютера к домену.
|
|
|
Рабочие группы, домены и доверие
В рабочей группе каждая система поддерживает хранилище учетных записей пользователей и групп. Локальное хранилище объектов идентификации на каждом компьютере называется базой данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). Если пользователь входит на компьютер рабочей группы, система выполняет проверку подлинности этого пользователя в своей локальной базе данных SAM. Если пользователь подключается к еще одной системе, например для получения доступа к файлу, вновь выполняется проверка подлинности пользователя в хранилище объектов идентификации удаленной системы. В отношении безопасности компьютер рабочей группы по всем параметрам — независимая автономная система.
Компьютер, присоединяемый к домену, делегирует ему задачу проверки подлинности пользователей. Хотя компьютер продолжает поддерживать свою базу данных SAM учетных записей локальных пользователей и групп, учетные записи пользователей, как правило, будут создаваться в центральном каталоге домена. Пользователь, входящий на компьютер посредством доменной учетной записи, теперь проходит проверку подлинности на контроллере домена, а не в базе данных SAM. Другими словами, компьютер доверяет контроллеру домена идентификацию пользователя. Доверительные отношения обычно рассматриваются в контексте двух доменов, однако доверие устанавливается также между каждым рядовым компьютером и его доменом; это происходит при присоединении компьютера к домену.
|
|
|
Требования по присоединению компьютера к домену
Для присоединения к домену Active Directory, компьютер должен соответствовать трем требованиям:
■ В службе каталогов должен быть создан объект компьютера.
■ Необходимо иметь соответствующие разрешения доступа к объекту компьютера, включая право присоединения к домену компьютера с тем же именем, что у объекта в домене.
■ Чтобы изменить членство компьютера в домене или рабочей группе, нужно быть членом локальной группы Администраторы (Administrators).
Контейнер Computers
Перед созданием объекта компьютера в службе каталогов (первое из трех требований для присоединения компьютера к домену) нужно определиться с контейнером, в который будет помещен этот объект. При создании домена по умолчанию создается контейнер Computers (CN=Computers,...). Этот контейнер — не подразделение, а именно объект класса container. Между контейнером и подразделением существует тонкое, но важно отличие. В контейнере нельзя создать подразделение (то есть нет возможности разбить контейнер Computers на подразделения), и к контейнеру нельзя привязать объект групповой политики. Поэтому для управления компьютерами настоятельно рекомендуется создавать настраиваемые подразделения, а не использовать контейнер Computers.
Создание подразделений компьютеров
Большинство организаций создают как минимум два подразделения для объектов компьютеров: одно для учетных записей компьютеров-клиентов (настольные системы, ноутбуки и другие пользовательские системы) и одно для серверов. Эти два подразделения дополняют подразделение Domain Controllers, которое создается по умолчанию при установке Active Directory. Компьютеры создаются в каждом из этих подразделений. Между объектами компьютеров в подразделении клиентов и в подразделении серверов или контроллеров домена никакой технической разницы нет — они в любом случае остаются объектами компьютеров. Однако особые подразделения обеспечивают уникальные области управления, чтобы управление объектам клиентов можно было делегировать одной команде, а управление серверами — другой команде администраторов.
|
|
|
В административной модели неизбежно потребуется распределять клиенты и серверы по разным подразделениям. Многие организации создают в подразделении сервера дочерние подразделения для управления конкретными типами серверов, например одно подразделение для файловых серверов и серверов печати, второе — для серверов баз данных. Таким образом, команде администраторов каждого типа серверов можно делегировать управление объектами компьютеров в соответствующем подразделении. Аналогичным образом географически распределенные организации с локальными командами поддержки часто разбивают родительское подразделение клиентов на дочерние подразделения для каждого сайта местонахождения. Этот подход позволяет команде поддержки каждого сайта создавать объекты компьютеров в узле для клиентов и с помощью этих объектов присоединять компьютеры к домену. Cтруктура подразделений должна соответствовать модели управления, чтобы подразделения обеспечивали отдельные точки управления для делегирования задач администрирования.
На рис. 5-1 показана типичная структура подразделений организации, в которой команды администраторов управляют отдельными типами серверов, а локальные команды технической поддержки занимаются клиентами в отдельных географических регионах.
Подразделения позволяют создавать различные типы конфигурации с применением разных объектов групповой политики GPO (Group Policy Object), привязываемых к подразделениям клиентов и серверов. Групповая политика позволяет указать конфигурацию для подразделения компьютеров путем привязки объектов GPO с инструкциями конфигурации к подразделениям. В организациях клиенты часто распределяются по подразделениям настольных систем и ноутбуков. Затем к соответствующим подразделениям привязываются объекты групповой политики, указывающие конфигурацию настольных систем или ноутбуков.
|
Если в организации реализовано децентрализованное администрирование на основе сайтов и требуется управлять уникальными типами конфигурации настольных и мобильных систем, вы столкнетесь с дилеммой проектирования. Разбить ли подразделение клиентов на основе администрирования, а затем распределить их по подразделениям настольных систем и ноутбуков, или наоборот — вначале разделить клиенты на настольные и мобильные системы, а уже потом распределить их на основе администрирования? Эти варианты представлены на рис. 5-2. Поскольку изначально подразделения в Active Directory предназначены для делегирования административных задач посредством наследования списков контроля доступа ACL (Access Control List), рекомендуется применять методику, показанную на рисунке слева.
|
|
|
