Instytut Elektroniki

Wydział Automatyki, Elektroniki i Informatyki

Politechniki Śląskiej

SIECI KOMPUTEROWE

LABORATORIUM

Instrukcja do ćwiczenia nr 4

Gliwice 2011

Ćwiczenie 4

Poufność i bezpieczeństwo w
systemie Windows Server cz.II.
Usługa Active Directory

4.1 Wstęp

Celem ćwiczenia jest zapoznanie uczestnika laboratorium Sieci Kompute-

rowych z zagadnieniami poufności i bezpieczeństwa usługi Active Directory
oraz tworzeniem kont użytkowników i grup w domenie.

Katalog jest strukturą hierarchiczną, w której są przechowane informa-

cje o obiektach znajdujących się w sieci. Usługa katalogowa, taka jak Active
Directory

R

, zapewnia metody przechowywania danych katalogowych oraz

udostępniania tych danych użytkownikom i administratorom sieci. Usługa
Active Directory przechowuje na przykład informacje o kontach użytkow-
ników, takie jak nazwy, hasła, numery telefonów itd., i umożliwia innym
upoważnionym użytkownikom sieci dostęp do tych informacji.

4.2 Wprowadzenie do usługi Active Directo-

ry

Usługę katalogową Active Directory

R

można zainstalować na serwerach z

systemem Microsoft

R

Windows Server

TM

Standard Edition, Windows Server

Enterprise Edition lub Windows Server Datacenter Edition. Usługa Active
Directory przechowuje informacje o obiektach znajdujących się w sieci oraz
umożliwia administratorom i użytkownikom łatwe znajdowanie tych infor-
macji i korzystanie z nich. Usługa Active Directory używa magazynu danych

Ćwiczenie 4 - Wprowadzenie do usługi Active Directory

3

o określonej strukturze jako podstawy dla logicznej i hierarchicznej organi-
zacji informacji katalogowych. Ten magazyn danych, nazywany również ka-
talogiem, zawiera informacje o obiektach usługi Active Directory. Do tych
obiektów zazwyczaj należą zasoby udostępnione, takie jak serwery, wolumi-
ny, drukarki oraz konta użytkowników i komputerów w sieci. Z usługą Acti-
ve Directory są zintegrowane zabezpieczenia polegające na uwierzytelnianiu
logowania i kontroli dostępu do obiektów w katalogu. Po jednokrotnym zalo-
gowaniu się do sieci administratorzy mogą zarządzać danymi katalogowymi
i ich organizacją w sieci, a autoryzowani użytkownicy sieci mają dostęp do
zasobów znajdujących się w dowolnym miejscu sieci. Administracja oparta
na zasadach ułatwia zarządzanie nawet najbardziej złożoną siecią.

Ponadto usługa Active Directory obejmuje następujące elementy:

•

Zestaw reguł, nazywany schematem, który określa klasy obiektów i
atrybuty zawarte w katalogu, ograniczenia i limity dotyczące wystą-
pień tych obiektów oraz format ich nazw.

•

Wykaz globalny, który zawiera informacje o każdym obiekcie w kata-
logu. Umożliwia on użytkownikom i administratorom znajdowanie in-
formacji katalogowych, niezależnie od tego, która domena w katalogu
zawiera te informacje.

•

Mechanizm przeszukiwania i indeksowania, który umożliwia użytkow-
nikom i aplikacjom w sieci publikowanie i znajdowanie obiektów i ich
właściwości.

•

Usługa replikacji, która dystrybuuje dane katalogowe w sieci. Wszystkie
kontrolery domeny w domenie uczestniczą w replikacji i zawierają peł-
ną kopię wszystkich informacji katalogowych dla danej domeny. Każda
zmiana danych katalogowych jest replikowana na wszystkich kontrole-
rach domeny w domenie.

Usługi Active Directory nie można zainstalować na serwerze z systemem

Windows Server Web Edition, ale można dołączyć ten serwer do domeny
usługi Active Directory jako serwer członkowski.

Informacje o zabezpieczeniach usługi Active Directory

Usługa Active Directory

R

zapewnia organizacji bezpieczne środowisko

katalogu, korzystając z wbudowanych funkcji uwierzytelniania logowania i
autoryzacji użytkowników. Są to podstawowe funkcje urzędu zabezpieczeń

Ćwiczenie 4 - Wprowadzenie do usługi Active Directory

4

lokalnych (LSA, Local Security Authority). Funkcje uwierzytelniania logo-
wania i autoryzacji użytkowników są dostępne domyślnie i zapewniają bez-
pośrednią ochronę dostępu do sieci i zasobów sieciowych.

Ochrona dostępu do sieci:

•

Usługa Active Directory wymaga potwierdzenia tożsamości użytkow-
nika, zanim zostanie mu udzielone zezwolenie na dostęp do sieci. Pro-
ces ten jest nazywany uwierzytelnianiem. Aby uzyskać dostęp do sieci,
wystarczy jeden raz zarejestrować się w domenie (lub domenach zaufa-
nych). Gdy usługa Active Directory potwierdzi tożsamość użytkownika,
urząd LSA na uwierzytelniającym kontrolerze domeny generuje token
dostępu, który określa poziom dostępu użytkownika do zasobów siecio-
wych.

•

Usługa Active Directory obsługuje wiele bezpiecznych protokołów i
mechanizmów uwierzytelniania będących standardami internetowymi
używanymi do potwierdzania tożsamości w czasie logowania, w tym
Kerberos V5, certyfikaty X.509 v3, karty inteligentne, infrastruktura
kluczy publicznych (PKI), protokół LDAP (Lightweight Directory Ac-
cess Protocol) korzystający z protokołu SSL (Secure Sockets Layer).

•

Uwierzytelnianie między domenami umożliwiają relacje zaufania. Za-
ufanie jest relacją ustanowioną między dwiema lub większą liczbą do-
men, która umożliwia uwierzytelnianie użytkowników jednej domeny
przez kontroler domeny innej domeny.

•

Relacje zaufania mogą być przechodnie lub nieprzechodnie, ale nale-
ży je zawsze ustanowić, aby umożliwić użytkownikom jednej domeny
uzyskanie dostępu do zasobów udostępnionych w innej domenie.

•

Oprócz zabezpieczania dostępu do sieci przez uwierzytelnianie usługa
Active Directory pomaga zapewnić ochronę zasobów udostępnionych,
ułatwiając autoryzację użytkowników. Po uwierzytelnieniu użytkowni-
ka przez usługę Active Directory i na podstawie praw, które zostały
mu przypisane za pomocą grup zabezpieczeń, oraz uprawnień, które
zostały przypisane zasobowi udostępnionemu, zostanie ustalone, czy
użytkownik może uzyskać dostęp do danego zasobu. Ten proces auto-
ryzacji chroni zasoby udostępnione przed nieupoważnionym dostępem,
zezwalając na dostęp tylko autoryzowanym użytkownikom i grupom.

Usługa Active Directory jest implementacją internetowego standardu pro-

tokołów katalogu i nazw. Używa ona aparatu bazy danych do obsługi trans-
akcji i obsługuje różnorodne standardy interfejsów programowania aplikacji.

Ćwiczenie 4 - Wprowadzenie do usługi Active Directory

5

4.2.1 Zabezpieczanie usługi Active Directory

Usługa Active Directory zapewnia organizacji bezpieczne środowisko ka-

talogu, korzystając z wbudowanych funkcji uwierzytelniania logowania i auto-
ryzacji użytkowników. Aby dodatkowo zabezpieczyć usługę Active Directory
po jej wdrożeniu, należy wziąć pod uwagę podane niżej zalecenia.

1. Ustanów relację zabezpieczeń między dwoma lasami i uprość admini-

strowanie zabezpieczeniami oraz uwierzytelnianie w lasach.

2. Wymuś na użytkownikach domeny używanie silnych haseł.

3. Włącz zasady inspekcji. Dzienniki zdarzeń inspekcji mogą powiadamiać

o czynnościach stwarzających ryzyko związane z zabezpieczeniami.

4. Przypisz prawa użytkownika nowym grupom zabezpieczeń, aby mieć

możliwość przypisania użytkownikowi określonej roli administracyjnej
w domenie.

5. Wymuś blokadę kont użytkowników, aby zmniejszyć prawdopodobień-

stwo złamania zabezpieczeń domeny przez powtarzanie prób logowania.

6. Wymuś tworzenie historii haseł do kont użytkowników, aby zmniejszyć

prawdopodobieństwo złamania zabezpieczeń domeny.

7. Wymuś minimalny i maksymalny okres ważności haseł do kont użyt-

kowników, aby zmniejszyć prawdopodobieństwo złamania zabezpieczeń
domeny.

8. Weryfikuj i uwierzytelniaj każdego użytkownika, stosując kryptografię

klucza publicznego.

9. Jeśli nie jest to konieczne, uruchamiaj komputer bez poświadczeń ad-

ministracyjnych, co jest bezpieczniejsze dla środowiska pracy.

10. Ogranicz dostęp użytkowników, grup i komputerów do zasobów udo-

stępnionych i określ ustawienia filtrowania zasad grupy.

11. Zapobiegnij atakom złośliwych użytkowników, którzy mogliby próbo-

wać udzielić szerszych praw użytkownika innemu kontu użytkownika.

12. Zapewnij zabezpieczone przed penetracją uwierzytelnianie użytkowni-

ków i bezpieczeństwo poczty e-mail.

13. Zastosuj techniki silnego szyfrowania w celu zabezpieczenia informa-

cji o kontach na komputerach lokalnych, serwerach członkowskich lub
kontrolerach domeny.

Ćwiczenie 4 - Wprowadzenie do usługi Active Directory

6

4.2.2 Konta użytkowników i komputerów

Konta użytkowników i konta komputerów usługi Active Directory odpo-

wiadają jednostkom fizycznym, takim jak komputer lub osoba. Konta użyt-
kowników mogą również służyć jako specjalne konta usług dla niektórych
aplikacji.

Konta użytkowników i konta komputerów (a także ich grupy) są również

nazywane podmiotami zabezpieczeń. Podmioty zabezpieczeń to obiekty ka-
talogu, którym są automatycznie przypisywane identyfikatory zabezpieczeń
(SID) umożliwiające uzyskanie dostępu do zasobów domeny. Funkcje konta
użytkownika lub komputera:

•

Uwierzytelnianie tożsamości użytkownika lub komputera. Konto użyt-
kownika umożliwia mu logowanie się do komputerów i domen przy uży-
ciu tożsamości, która może być uwierzytelniona przez domenę. Każdy
użytkownik logujący się do sieci powinien mieć własne, unikatowe konto
użytkownika i hasło. Aby zapewnić maksymalne zabezpieczenia, nale-
ży unikać sytuacji, w których wielu użytkowników wspólnie korzysta z
jednego konta.

•

Udzielanie lub odmawianie dostępu do zasobów domeny. Użytkownik
uwierzytelniony otrzymuje zezwolenie na dostęp do zasobów domeny
lub odmowę dostępu (na podstawie jawnych uprawnień do zasobów
przypisanych temu użytkownikowi).

•

Administrowanie innymi podmiotami zabezpieczeń. Usługa Active Di-
rectory tworzy w domenie wewnętrznej obiekty typu obcy podmiot za-
bezpieczeń reprezentujące każdy podmiot zabezpieczeń z zaufanej do-
meny zewnętrznej.

•

Inspekcja czynności wykonywanych przy użyciu konta użytkownika lub
komputera. Inspekcja może ułatwiać monitorowanie zabezpieczeń kont.

Konta użytkowników Kontener Users, który znajduje się w folderze Użyt-

kownicy i komputery usługi Active Directory, zawiera trzy wbudowane konta
użytkowników: Administrator, Gość i Pomocnik. Te wbudowane konta użyt-
kowników są tworzone automatycznie podczas tworzenia domeny. Każde kon-
to wbudowane ma inną kombinację praw i uprawnień. Konto Administrator
ma najszersze prawa i uprawnienia w domenie, podczas gdy w przypadku
konta Gość są one znacznie ograniczone. W poniżej opisano wszystkie do-
myślne konta użytkowników na kontrolerach domeny z systemem Windows
Server.

Opis kont

Ćwiczenie 4 - Wprowadzenie do usługi Active Directory

7

•

Konto Administrator daje pełną kontrolę nad domeną, a w razie po-
trzeby umożliwia przypisanie praw użytkownika i uprawnień kontro-
li dostępu użytkownikom domeny. Konta tego należy używać tylko
do wykonywania zadań, które wymagają poświadczeń administracyj-
nych. W przypadku tego konta zalecane jest używanie silnego hasła.
Konto Administrator jest domyślnie członkiem grup Administratorzy,
Administratorzy domeny, Administratorzy przedsiębiorstwa, Twórcy-
właściciele zasad grupy i Administratorzy schematu w usłudze Active
Directory. Konta Administrator nie można usunąć z grupy Administra-
torzy, ale można zmienić jego nazwę lub wyłączyć je. Powszechnie wia-
domo, że konto Administrator istnieje w wielu wersjach systemu Win-
dows, więc zmiana jego nazwy lub wyłączenie go utrudnia złośliwym
użytkownikom uzyskanie dostępu do tego konta. Konto Administrator
jest pierwszym kontem tworzonym w przypadku konfigurowania nowej
domeny za pomocą Kreatora instalacji usługi Active Directory. Nawet
jeśli konto Administrator jest wyłączone, nadal można go użyć w celu
uzyskania dostępu do kontrolera domeny w trybie awaryjnym.

•

Konto Gość jest używane przez osoby, które nie mają własnego konta
w danej domenie. Użytkownik, którego konto jest wyłączone (ale nie
usunięte), również może korzystać z konta Gość. Konto Gość nie wy-
maga hasła. Prawa i uprawnienia dla konta Gość można skonfigurować
tak samo jak dla każdego innego konta użytkownika. Domyślnie konto
Gość jest członkiem grupy wbudowanej Goście i grupy globalnej Go-
ście domeny, dzięki czemu użytkownik może zalogować się do domeny.
Domyślnie konto Gość jest wyłączone i nie zaleca się włączania go.

•

Podstawowe konto służące do ustanawiania sesji pomocy zdalnej. To
konto jest tworzone automatycznie w odpowiedzi na żądanie ustano-
wienia sesji pomocy zdalnej. Ma ono ograniczony dostęp do kompute-
ra. Kontem Pomocnik zarządza usługa Menedżer sesji pomocy pulpitu
zdalnego i jest ono automatycznie usuwane, jeśli nie ma oczekujących
żądań pomocy zdalnej.

Zabezpieczanie kont użytkowników Jeśli prawa i uprawnienia kont wbu-

dowanych nie zostaną zmodyfikowane lub wyłączone przez administratora
sieci, mogą one zostać użyte przez złośliwego użytkownika (lub usługę) do
nielegalnego zalogowania się do domeny przy użyciu tożsamości Administra-
tor lub Gość. Dobrym sposobem ochrony tych kont jest zmiana ich nazw lub
wyłączenie ich. W przypadku zmiany nazwy konto użytkownika zachowuje
swój identyfikator zabezpieczeń, więc zachowuje również wszystkie pozosta-
łe właściwości, takie jak opis, hasło, członkostwo grup, profil użytkownika,

Ćwiczenie 4 - Wprowadzenie do usługi Active Directory

8

informacje o koncie oraz wszystkie przypisane uprawnienia i prawa użytkow-
nika.

Aby zapewnić zabezpieczenia uwierzytelniania i autoryzacji użytkowni-

ków, trzeba utworzyć indywidualne konto dla każdego użytkownika, który
należy do sieci. Służy do tego przystawka Użytkownicy i komputery usługi
Active Directory. Każde konto użytkownika (w tym konto Administrator i
Gość) można dodawać do grupy i w ten sposób sterować przypisanymi mu
prawami i uprawnieniami. Używanie kont i grup odpowiednich dla danej sieci
zapewnia, że użytkownicy logujący się do sieci mogą być zidentyfikowani i
mogą uzyskać dostęp tylko do określonych zasobów. Poziom ochrony domeny
przed atakami można podwyższyć, wymagając używania silnych haseł i im-
plementując zasady blokady kont. Silne hasła zmniejszają ryzyko złamania
hasła za pomocą inteligentnego zgadywania lub ataków słownikowych. Za-
sady blokady kont zmniejszają prawdopodobieństwo złamania zabezpieczeń
domeny przez powtarzające się próby logowania, ponieważ określają one, ile
może być nieudanych prób zalogowania się przy użyciu danego konta użyt-
kownika, zanim to konto zostanie wyłączone.

Opcje konta Każde konto użytkownika usługi Active Directory ma kilka

opcji, które określają, w jaki sposób osoba logująca się przy użyciu danego
konta użytkownika jest uwierzytelniana w sieci. Aby skonfigurować ustawie-
nia haseł i informacje związane z zabezpieczeniami dla konta użytkownika,
można użyć następujących opcji:

Opcja konta

•

Użytkownik musi zmienić hasło przy następnym logowaniu

•

Użytkownik nie może zmienić hasła

•

Hasło nigdy nie wygasa

•

Zapisz hasła, korzystając z szyfrowania odwracalnego

•

Konto jest wyłączone

•

Logowanie interakcyjne wymaga karty inteligentnej

•

Konto jest zaufane w kwestii delegowania

•

Konto jest poufne i nie może być delegowane

•

Użyj typów szyfrowania DES dla tego konta

•

Nie jest wymagane wstępne uwierzytelnienie protokołu Kerberos

Ćwiczenie 4 - Wprowadzenie do usługi Active Directory

9

Konta komputerów Każdy komputer z systemem Windows NT, Windows

2000 lub Windows XP/Vista/7 albo serwer z systemem Windows Server, któ-
ry zostaje dołączony do domeny, otrzymuje własne konto komputera. Podob-
nie jak konta użytkowników, konta komputerów umożliwiają uwierzytelnianie
oraz inspekcję dostępu komputera do sieci i zasobów domeny. Każde konto
komputera musi być unikatowe. Komputery z systemem Windows 95 i Win-
dows 98 nie mają zaawansowanych funkcji zabezpieczeń i nie przypisuje im
się kont komputerów. Konta użytkowników i komputerów można dodawać,
wyłączać, resetować i usuwać za pomocą przystawki Użytkownicy i kom-
putery usługi Active Directory. Konto komputera można również utworzyć
podczas dołączania komputera do domeny.

Nazwy obiektów

Każdy obiekt w usłudze Active Directory jest wystąpieniem klasy zdefi-

niowanej w schemacie. Każda klasa ma atrybuty, które zapewniają:

•

Unikatową identyfikację każdego obiektu (wystąpienia klasy) w maga-
zynie danych katalogowych

•

Zgodność z identyfikatorami zabezpieczeń używanymi w systemie Win-
dows NT 4.0 lub starszym

•

Zgodność nazw obiektów katalogu ze standardami LDAP

Jednostki organizacyjne

Szczególnie przydatnym typem obiektu katalogu zawartym w domenie

jest jednostka organizacyjna. Jednostki organizacyjne są kontenerami usługi
Active Directory, w których można umieszczać użytkowników, grupy, kom-
putery i inne jednostki organizacyjne. Jednostka organizacyjna nie może za-
wierać obiektów z innych domen.

Jednostka organizacyjna jest najmniejszym zakresem lub jednostką, któ-

rej można przypisać ustawienia zasad grupy lub udzielić pełnomocnictw ad-
ministracyjnych. Korzystając z jednostek organizacyjnych, można tworzyć
kontenery z domeną reprezentującą hierarchiczną, logiczną strukturę firmy.
Pozwala to na zarządzanie konfiguracją oraz na korzystanie z kont i zasobów
na podstawie modelu organizacyjnego.

Role serwera usługi Active Directory Komputery, które pracują w do-

menie jako serwery, mogą pełnić jedną z dwóch ról: serwera członkowskiego
lub kontrolera domeny. Serwer, który nie należy do domeny, jest serwerem
autonomicznym.

Kontrolery domeny Kontrolerem domeny jest komputer, który:

Ćwiczenie 4 - Administrowanie usługą Active Directory

10

•

Używa systemu operacyjnego z rodziny Windows 2000 Server lub Win-
dows Server 2003/2008.

•

Używa usługi Active Directory do przechowywania kopii tylko do od-
czytu bazy danych domeny, uczestniczy w replikacji z wieloma wzorca-
mi i uwierzytelnia użytkowników.

Kontrolery domeny przechowują dane katalogowe i zarządzają komunika-

cją między użytkownikami a domeną, w tym procesami logowania użytkow-
ników, uwierzytelnianiem i przeszukiwaniem katalogu. Kontrolery domeny
synchronizują dane katalogowe, korzystając z replikacji z wieloma wzorcami,
co zapewnia stałą spójność informacji.

Usługa Active Directory obsługuje replikację z wieloma wzorcami danych

katalogowych między wszystkimi kontrolerami domeny w domenie; jednak
replikacja z wieloma wzorcami nie jest odpowiednia dla niektórych danych
katalogowych. W takim wypadku dane przetwarza kontroler domeny nazy-
wany wzorcem operacji. W lesie usługi Active Directory istnieje przynajmniej
pięć różnych ról wzorca operacji przypisanych jednemu lub większej liczbie
kontrolerów domeny. W przypadku zmiany wymagań dotyczących środowiska
komputerowego celowa może być zmiana roli serwera. Korzystając z Kreato-
ra instalacji usługi Active Directory, usługę Active Directory można zainsta-
lować na serwerze członkowskim, aby stał się on kontrolerem domeny, lub
można ją usunąć z kontrolera domeny, aby stał się on serwerem członkow-
skim.

4.3 Administrowanie usługą Active Directo-

ry

Administrowanie usługą wiąże się nieodzownie z funkcjami, czynnościami

oraz działaniami, które w punktach zostaną omówione poniżej.

1. Korzystanie z funkcji Uruchom jako - logowanie się do komputera przy

użyciu poświadczeń administracyjnych wiąże się z ryzykiem dla kom-
putera i sieci. W związku z tym nie jest ono zalecane. W zamian można
użyć funkcji Uruchom jako, która pozwala na wykonywanie zadań ad-
ministracyjnych bez konieczności logowania się do komputera przy uży-
ciu poświadczeń administracyjnych. Funkcja Uruchom jako umożliwia
otwarcie i uruchomienie programu przy użyciu innego konta i kontek-
stu zabezpieczeń niż te, których użytkownik użył do zalogowania się.
Można więc zalogować się przy użyciu zwykłego konta użytkownika,

Ćwiczenie 4 - Administrowanie usługą Active Directory

11

a następnie użyć funkcji Uruchom jako do otwarcia programu admini-
stracyjnego w kontekście administracyjnym. Kontekst administracyj-
ny jest wykorzystywany tylko przez określony program i jest dostępny
tylko do czasu zamknięcia tego programu. Używanie funkcji Uruchom
jako do wykonywania zadań administracyjnych jest szczególnie istotne
w przypadku administratorów domeny. Uruchomienie komputera jako
administrator domeny w usłudze Active Directory naraża domenę i las
na ataki przy użyciu koni trojańskich i inne próby naruszenia sekwencji
logowania.

2. Korzystanie z zapisanych kwerend - zapisane kwerendy zapewniają ad-

ministratorom szybki i jednolity sposób uzyskiwania dostępu do wspól-
nego zestawu obiektów katalogu w celu wykonania dla nich określonych
zadań lub monitorowania ich. Zapisane kwerendy korzystają ze wstęp-
nie zdefiniowanych ciągów LDAP do przeszukiwania tylko określonej
partycji domeny. Przeszukiwanie można również ograniczyć do poje-
dynczego obiektu kontenera. Można także utworzyć zapisaną kwerendę
zawierającą filtr wyszukiwania LDAP. Przystawka Użytkownicy i kom-
putery usługi Active Directory zawiera folder Zapisane kwerendy, w
którym administratorzy mogą tworzyć, edytować, zapisywać i organizo-
wać zapisane kwerendy. Zanim wprowadzono zapisane kwerendy, admi-
nistratorzy musieli tworzyć niestandardowe skrypty ADSI, które wyko-
nywały kwerendy dotyczące wspólnych obiektów. Często był to proces
długotrwały, który wymagał wiedzy, w jaki sposób interfejsy ADSI wy-
korzystują filtry wyszukiwania LDAP do odpowiadania na kwerendę.
Wszystkie kwerendy znajdujące się w folderze Zapisane kwerendy są
przechowywane w konsoli Użytkownicy i komputery usługi Active Di-
rectory (dsa.msc). Po pomyślnym utworzeniu dostosowanego zestawu
kwerend plik .msc można skopiować na innych kontrolerach domeny z
systemem Windows Server (znajdujących się w tej samej domenie) i
tam z nich korzystać. Można również eksportować zapisane kwerendy
do pliku .xml i importować je do innych konsoli Użytkownicy i kom-
putery usługi Active Directory na kontrolerach domeny z systemem
Windows Server (znajdujących się w tej samej domenie). Można na
przykład zapisywać kwerendy służące do wyszukiwania wyłączonych
kont użytkowników lub komputerów, liczby dni od czasu ostatniego
logowania określonego użytkownika, użytkowników z niewygasającymi
hasłami i wiele innych powszechnie używanych kwerend. Po wykona-
niu zapisanej kwerendy i wyświetleniu żądanych obiektów każdy z tych
obiektów może być modyfikowany bezpośrednio na ekranie wyników
kwerendy. Można na nim zaznaczyć wiele obiektów i wykonać określo-

Ćwiczenie 4 - Administrowanie usługą Active Directory

12

ne zadanie dla nich wszystkich. Można na przykład wykonać operację
przeciągania i upuszczania, aby dodać dwa lub większą liczbę wyświe-
tlonych obiektów do grupy.

3. Zarządzanie usługą Active Directory z programu MMC - Narzędzia

administracyjne usługi Active Directory upraszczają administrowanie
usługą katalogową. Można używać narzędzi standardowych lub, korzy-
stając z programu Microsoft Management Console (MMC), tworzyć na-
rzędzia niestandardowe, przeznaczone do wykonywania pojedynczych
zadań administracyjnych. Kilka narzędzi można połączyć w jedną kon-
solę. Można również przypisać narzędzia niestandardowe poszczegól-
nym administratorom, odpowiedzialnym za określone zadania admini-
stracyjne. Narzędzia administracyjne usługi Active Directory mogą być
używane tylko na komputerze mającym dostęp do domeny. Następu-
jące narzędzia administracyjne usługi Active Directory są dostępne w
menu Narzędzia administracyjne:

•

Użytkownicy i komputery usługi Active Directory.

•

Domeny i relacje zaufania usługi Active Directory.

•

Lokacje i usługi Active Directory.

Usługą Active Directory można również administrować zdalnie z kom-
putera, który nie jest kontrolerem domeny, na przykład z komputera z
systemem Windows XP/Vista/7 Professional. W tym celu trzeba zain-
stalować Pakiet narzędzi administracyjnych systemu Windows Server.
Konsole MMC usługi Active Directory, w tym konsole Użytkownicy i
komputery usługi Active Directory (dsa.msc), Domeny i relacje zaufa-
nia usługi Active Directory (domain.msc) oraz Lokacje i usługi Active
Directory (dssite.msc), oferują opcje wiersza polecenia, które umożli-
wiają uruchomienie konsoli ustawionej na określonej domenie lub kon-
trolerze domeny. Te opcje wiersza polecenia obsługują zarówno w pełni
kwalifikowane nazwy domeny (FQDN), jak i nazwy NetBIOS.

Opcje wiersza polecenia:
/domain=nazwa_FQDN_domeny
/domain=nazwa_NetBIOS_domeny
/server=nazwa_FQDN_kontrolera_domeny
/server=nazwa_NetBIOS_kontrolera_domeny

Tych opcji wiersza polecenia można używać do uruchamiania konsoli
MMC usługi Active Directory bezpośrednio z wiersza polecenia. Można

Ćwiczenie 4 - Administrowanie usługą Active Directory

13

też utworzyć skrót uruchamiający konsolę i dodać odpowiednie opcje
wiersza polecenia do tego skrótu. Tych opcji wiersza polecenia moż-
na również używać z konsolami niestandardowymi, utworzonymi samo-
dzielnie. Przykładowe wiersze polecenia:

•

Aby uruchomić konsolę Użytkownicy i komputery usługi Active
Directory ustawioną na domenę domena1, wpisz polecenie:
dsa.msc

/domain=domena1

•

Aby uruchomić konsolę Użytkownicy i komputery usługi Active
Directory ustawioną na serwer serwer1, wpisz polecenie:
dsa.msc

/server=serwer1.domena1

•

Aby uruchomić konsolę Lokacje i usługi Active Directory ustawio-
ną na serwer serwer1, wpisz polecenie:
dssite.msc

/server=serwer1.domena1

•

Aby uruchomić konsolę Domeny i relacje zaufania usługi Active
Directory ustawioną na serwer serwer1, wpisz polecenie:
domain.msc

/server=serwer1.domena1

4. Zarządzanie usługą Active Directory z wiersza polecenia - Do zarządza-

nia usługą Active Directory można używać opisanych poniżej narzędzi
wiersza polecenia.

Polecenie csvde - umożliwia importowanie i eksportowanie danych usłu-
gi Active Directory w formacie tekstu rozdzielanego przecinkami. Pole-
cenie dsadd - umożliwia dodawanie użytkowników, grup, komputerów,
kontaktów i jednostek organizacyjnych do usługi Active Directory. Pole-
cenie dsmod - umożliwia modyfikowanie w katalogu istniejącego obiek-
tu określonego typu. Do typów obiektów, która można modyfikować,
należą: użytkownicy, grupy, komputery, kontakty i jednostki organiza-
cyjne. Polecenie dsrm - umożliwia usuwanie obiektów określonego typu
z usługi Active Directory. Polecenie dsmove - umożliwia zmienianie na-
zwy obiektu bez przenoszenia go w drzewie katalogu lub przenoszenie
obiektu z jego bieżącej lokalizacji w katalogu do nowej lokalizacji na tym
samym kontrolerze domeny. (Do przenoszenia obiektów między dome-
nami służy narzędzie wiersza polecenia Movetree.) Polecenie dsquery -
umożliwia wyszukiwanie obiektów w katalogu przy użyciu określonych
kryteriów. W trybie uniwersalnym można wyszukiwać obiekty dowol-
nego typu, a w trybie specjalnym — obiekty wybranych typów. Do
określonych typów obiektów, które można wyszukiwać za pomocą tego
polecenia, należą: komputery, kontakty, podsieci, grupy, jednostki or-
ganizacyjne, lokacje, serwery i użytkownicy. Polecenie dsget - wyświe-
tla wybrane atrybuty określonych typów obiektów w usłudze Active

Ćwiczenie 4 - Administrowanie usługą Active Directory

14

Directory. Można wyświetlić atrybuty następujących typów obiektów:
komputery, kontakty, podsieci, grupy, jednostki organizacyjne, serwery,
lokacje i użytkownicy. Polecenie ldifde - umożliwia tworzenie, modyfi-
kowanie i usuwanie obiektów katalogu. Tego narzędzia można również
używać do rozszerzania schematu, eksportowania informacji o użytkow-
nikach i grupach usługi Active Directory do innych aplikacji lub usług
oraz wypełniania usługi Active Directory danymi z innych usług ka-
talogowych. Polecenie ntdsutil - uniwersalne narzędzie do zarządzania
usługą Active Directory. Narzędzia Ntdsutil można używać do zadań
konserwacji bazy danych usługi Active Directory, zarządzania opera-
cjami pojedynczego wzorca oraz usuwania metadanych pozostawionych
przez kontrolery domeny, które usunięto z sieci bez ich poprawnego od-
instalowania.

5. Znajdowanie informacji katalogowych - funkcją usługi Active Directory

jest dostarczanie informacji o obiektach katalogu kwerendom przesyła-
nym przez użytkowników i programy. Administratorzy i użytkownicy
mogą łatwo wyszukiwać informacje, używając polecenia Wyszukaj w
menu Start. Programy klienckie mogą uzyskiwać dostęp do informacji
w usłudze Active Directory, korzystając z interfejsów usługi Active Di-
rectory (ADSI). Jedną z najważniejszych zalet usługi Active Directory
są jej bogate zasoby informacji o obiektach sieciowych. Opublikowane
w usłudze Active Directory informacje o użytkownikach, komputerach,
plikach i drukarkach są dostępne dla użytkowników sieci. Tą dostępno-
ścią sterują uprawnienia zabezpieczeń do wyświetlania informacji. W
pewnych sytuacjach, na przykład ze względu na bezpieczeństwo lub
prywatność, celowe może być ograniczenie dostępu do niektórych infor-
macji katalogowych. Uprawnienia kontroli dostępu umożliwiają szcze-
gółowe sterowanie widocznością informacji przechowywanych w usłudze
Active Directory. Udzielając uprawnień, można zapewnić, aby dostęp
do określonych informacji katalogowych mieli tylko użytkownicy, którzy
potrzebują tych informacji.

6. Administrowanie innymi domenami - w organizacji zawierającej więcej

niż jedną domenę administrator często musi zarządzać inną domeną
niż ta, w której jest zalogowany. Na przykład, tworząc zaufanie, musi
je utworzyć zarówno w domenie ufającej, jak i zaufanej. Ma następujące
możliwości:

(a) Współpraca z osobami mającymi poświadczenia administracyjne

w innej domenie

Ćwiczenie 4 - Administrowanie usługą Active Directory

15

(b) Zalogowanie się przy użyciu konta użytkownika z odpowiednimi

uprawnieniami

(c) Użycie polecenia Uruchom jako w celu uruchomienia narzędzia ad-

ministracyjnego przeznaczonego dla określonej domeny (zalecane)

Bezpieczną metodą kontroli dostępu administracyjnego do domeny jest
ścisła kontrola liczby kont dodawanych do grupy Administratorzy do-
meny w tej domenie oraz liczby osób, które wiedzą o tych kontach.
Tylko członkowie grupy Administratorzy domeny (lub Administrato-
rzy przedsiębiorstwa) mogą wprowadzać rozległe zmiany administra-
cyjne w domenie. Jeśli na przykład administrator domeny w jednej
domenie chciałby ustanowić zaufanie skrótowe z inną domeną, mógłby
ustanowić relację zaufania w tej domenie, komunikując się z jej admi-
nistratorem, uzgadniając z nim wspólne silne hasło dla relacji zaufania
i prosząc go o utworzenie zaufania w tej domenie. Wygodniejszą, ale
mniej bezpieczną metodą administrowania dwiema domenami jest in-
terakcyjne zalogowanie się przy użyciu konta użytkownika mającego
poświadczenia administracyjne w obu domenach. Na przykład konta
użytkowników będące członkami grupy zabezpieczeń Administratorzy
przedsiębiorstwa mają uprawnienia do administrowania każdą domeną
w lesie. Logowanie się do komputera przy użyciu konta użytkownika,
które ma szerokie uprawnienia administracyjne, nie jest jednak zaleca-
ne.

7. Delegowanie administracji - delegując administrację, można przypisać

pewien zakres zadań administracyjnych odpowiednim użytkownikom i
grupom. Podstawowe zadania administracyjne można przypisać zwy-
kłym użytkownikom lub grupom, a administrowanie domeną i lasem
można pozostawić członkom grup Administratorzy domeny i Admi-
nistratorzy przedsiębiorstwa. Delegowanie administracji powoduje, że
grupy w organizacji mają większą kontrolę nad swoimi lokalnymi zaso-
bami sieciowymi. Ponadto ograniczenie członkostwa grup administrato-
rów pomaga w zabezpieczeniu sieci przed nieumyślnym lub złośliwym
wyrządzeniem szkód. Kontrolę administracyjną można delegować na
dowolny poziom drzewa domen, tworząc w domenie jednostki organi-
zacyjne i powierzając administrowanie tymi jednostkami określonym
użytkownikom lub grupom. Aby zdecydować, jakie jednostki organiza-
cyjne utworzyć i które z nich powinny zawierać konta lub zasoby udo-
stępnione, należy uwzględnić strukturę firmy. Można by na przykład
utworzyć jednostkę organizacyjną, która umożliwia przypisanie dowol-
nemu użytkownikowi kontroli administracyjnej nad wszystkimi kontami

Ćwiczenie 4 - Administrowanie usługą Active Directory

16

użytkowników i komputerów we wszystkich gałęziach jednego z działów
organizacji, np. działu kadr. Ewentualnie można by przypisać użytkow-
nikowi kontrolę administracyjną tylko nad niektórymi zasobami działu,
np. kontami komputerów. Inną możliwą formą delegowania kontroli ad-
ministracyjnej byłoby przypisanie użytkownikowi kontroli administra-
cyjnej nad jednostką organizacyjną Dział kadr, ale nie nad jednostkami
organizacyjnymi zawartymi w jednostce organizacyjnej Dział kadr. W
usłudze Active Directory zdefiniowano specyficzne uprawnienia i prawa
użytkownika, których można używać w celach delegowania lub ograni-
czania kontroli administracyjnej. Używając kombinacji jednostek orga-
nizacyjnych, grup i uprawnień, można określić najbardziej odpowiedni
zakres administracyjny dla danej osoby. Tym zakresem może być cała
domena, wszystkie jednostki organizacyjne lub jedna jednostka organi-
zacyjna w domenie. Kontrolę administracyjną można przypisać użyt-
kownikowi lub grupie za pomocą Kreatora delegowania kontroli lub
konsoli Menedżer autoryzacji. Oba te narzędzia umożliwiają przypi-
sywanie praw i uprawnień określonym użytkownikom lub grupom. Na
przykład użytkownikowi można udzielić uprawnień do modyfikowania
właściwości Właściciel kont, nie udzielając mu uprawnień do usuwania
kont z danej jednostki organizacyjnej. Kreator delegowania kontroli, jak
sugeruje jego nazwa, umożliwia delegowanie zadań administracyjnych i
prowadzi przez cały ten proces. Menedżer autoryzacji jest konsolą pro-
gramu Microsoft Management Console (MMC), która również umożli-
wia delegowanie administracji. Menedżer autoryzacji zapewnia większą
elastyczność niż Kreator delegowania kontroli, ale posługiwanie się nim
jest trudniejsze.

8. Publikowanie zasobów - aby ułatwić użytkownikom znajdowanie po-

trzebnych zasobów sieciowych, możliwe do wyszukiwania informacje o
tych zasobach można opublikować w usłudze Active Directory. Do za-
sobów, które można opublikować, należą użytkownicy, komputery, dru-
karki, foldery udostępnione i usługi sieciowe. Niektóre często używane
informacje katalogowe, takie jak nazwy użytkowników i komputerów,
są publikowane domyślnie podczas tworzenia odpowiednich obiektów.
Inne informacje katalogowe, na przykład informacje o folderach udo-
stępnionych, trzeba opublikować ręcznie.

9. Zarządzanie partycjami COM+ w usłudze Active Directory - party-

cje COM+ przechowywane w usłudze Active Directory są używane do
mapowania lokalnej partycji COM+, na której jest przechowywana rze-
czywista aplikacja COM+, na określonych użytkowników lub jednostki

Ćwiczenie 4 - Administrowanie usługą Active Directory

17

organizacyjne w przedsiębiorstwie. Aplikacje COM+ to grupy skład-
ników COM, które pracują razem, korzystając z usług COM+, takich
jak kolejkowanie, zabezpieczenia oparte na rolach itp. Istnieją dwa typy
partycji COM+: partycje COM+ przechowywane w usłudze Active Di-
rectory i lokalne partycje COM+ przechowywane na serwerach aplika-
cji. Korzystając z partycji COM+ przechowywanych w usłudze Active
Directory, można przypisywać użytkowników i całe jednostki organi-
zacyjne domeny aplikacjom przechowywanym na lokalnych partycjach
COM+. Lokalne partycje COM+ są kontenerami aplikacji używany-
mi do zarządzania wieloma wystąpieniami aplikacji COM+ na jednym
serwerze aplikacji. Na lokalnej partycji COM+ może być przechowywa-
ne jedno wystąpienie aplikacji. Innymi słowy, jeśli użytkownicy domeny
muszą mieć dostęp do dwóch lub większej liczby wersji tej samej aplika-
cji (ApX 1.0 i ApX 2.0), trzeba utworzyć dwie osobne, lokalne partycje
COM+ na serwerze aplikacji i skojarzyć (lub połączyć) je z dwiema
osobnymi partycjami COM+ w usłudze Active Directory.

10. Zarządzanie zestawami partycji COM+ w usłudze Active Directory -

zestawy partycji przechowywane w usłudze Active Directory mogą za-
wierać jedną lub większą liczbę partycji COM+ i są używane do przypi-
sywania jednej lub wielu aplikacji, znajdujących się na serwerze aplika-
cji, użytkownikom lub jednostkom organizacyjnym domeny Każdy ze-
staw partycji COM+ określa partycje COM+, do których użytkownik
domeny ma prawo dostępu. Zestawy partycji COM+ dają następujące
korzyści zarówno administratorom, jak i programistom:

•

Administrowanie aplikacjami rozproszonymi staje się dużo łatwiej-
sze, ponieważ administrator może udzielić określonej grupie użyt-
kowników domeny dostępu do określonego zestawu aplikacji.

•

Dla każdego zestawu partycji można stosować zasady zabezpie-
czeń do użytkowników domeny i jednostek organizacyjnych. Przed
przypisaniem zestawów partycji COM+ trzeba logicznie zgrupo-
wać jedną lub większą liczbę partycji COM+ w jeden zestaw par-
tycji COM+. Po zdefiniowaniu zestawu partycji COM+ można
udostępnić aplikacje w całej domenie, mapując zestawy party-
cji COM+ na użytkowników lub jednostki organizacyjne dome-
ny. Aby to zrobić, trzeba wykonać odpowiednie zadania zarówno
na kontrolerze domeny, gdzie znajduje się usługa Active Directo-
ry, jak i na serwerze aplikacji, gdzie jest zainstalowana aplikacja
COM+.

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

18

4.4 Zarządzanie użytkownikami i grupami w

domenie

Omówione zostana następujące zagadnienia:

•

Zarządzanie użytkownikami

•

Zarządzanie grupami

•

Zarządzanie komputerami

4.4.1 Zarządzanie użytkownikami

Do zadań związanych bezpośrednio z zarządzaniem użytkownikami w do-

menie zaliczyć można:

•

Tworzenie nowego konta użytkownika

•

Resetowanie hasła użytkownika

•

Kopiowanie konta użytkownika

•

Przenoszenie konta użytkownika

•

Ustawianie godzin logowania

•

Wyłączanie i włączanie konta użytkownika

•

Mapowanie certyfikatu do konta użytkownika

•

Zmienianie grupy podstawowej użytkownika

•

Usuwanie konta użytkownika

Aby utworzyć nowe konto użytkownika w domenie

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij prawym przyciskiem myszy folder, do którego

chcesz dodać konto użytkownika.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/folder

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

19

3. Wskaż polecenie Nowy, a następnie kliknij polecenie Użytkownik.

4. W polu Imię wpisz imię użytkownika.

5. W polu Inicjały wpisz inicjały użytkownika.

6. W polu Nazwisko wpisz nazwisko użytkownika.

7. Zmodyfikuj pole Imię i nazwisko, aby dodać inicjały lub odwrócić ko-

lejność imienia i nazwiska.

8. W polu Nazwa logowania użytkownika wpisz nazwę logowania użytkow-

nika, kliknij sufiks UPN na liście rozwijanej, a następnie kliknij przycisk
Dalej. Jeśli użytkownik będzie używał innej nazwy do logowania się na
komputerach z systemem Windows 95, Windows 98 lub Windows NT,
możesz zmienić nazwę logowania użytkownika wyświetlaną w polu Na-
zwa logowania użytkownika (systemy starsze niż Windows 2000).

9. W polu Hasło i Potwierdź hasło wpisz hasło użytkownika, a następnie

wybierz odpowiednie opcje hasła

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsadd user NazwaWyróżniającaUżytkownika
[-samidNazwaSAM] -pwd {hasło|*}

Aby zresetować hasło użytkownika w domenie

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

W drzewie konsoli kliknij węzeł Users.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Users

Ewentualnie kliknij folder zawierający konto użytkownika.

2. W okienku szczegółów kliknij prawym przyciskiem myszy użytkownika,

którego hasło chcesz zresetować, a następnie kliknij polecenie Resetuj
hasło.

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

20

3. Wpisz i potwierdź hasło.

4. Jeśli chcesz, aby użytkownik musiał zmienić to hasło przy następnym

logowaniu, zaznacz pole wyboru Użytkownik musi zmienić hasło przy
następnym logowaniu.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie:

dsadd user NazwaWyróżniającaUżytkownika
[-samidNazwaSAM] -pwd {hasło|*}

Kopiowanie konta użytkownika

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Users.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Users

Ewentualnie kliknij folder zawierający konto użytkownika.

3. W okienku szczegółów kliknij prawym przyciskiem myszy konto użyt-

kownika, które chcesz skopiować, a następnie kliknij polecenie Kopiuj.

4. W polu Imię wpisz imię użytkownika.

5. W polu Nazwisko wpisz nazwisko użytkownika.

6. Zmodyfikuj pole Imię i nazwisko, aby dodać inicjały lub odwrócić ko-

lejność imienia i nazwiska. W polu Nazwa logowania użytkownika wpisz
nazwę logowania użytkownika, kliknij sufiks UPN na liście rozwijanej, a
następnie kliknij przycisk Dalej.Jeśli na komputerach z systemem Win-
dows 95, Windows 98 lub Windows NT użytkownik będzie korzystać
z innej nazwy logowania, należy zmienić nazwę logowania użytkownika
w polu Nazwa logowania użytkownika (systemy starsze niż Windows
2000).

7. W polu Hasło i Potwierdź hasło wpisz hasło użytkownika, a następnie

wybierz odpowiednie opcje hasła.Jeśli konto użytkownika, które zostało
skopiowane, było wyłączone, kliknij opcję Konto jest wyłączone, aby
włączyć nowe konto.

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

21

Aby przenieść konto użytkownika

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Users.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Users

Ewentualnie kliknij folder zawierający konto użytkownika.

3. W okienku szczegółów kliknij prawym przyciskiem myszy użytkownika,

którego chcesz przenieść, a następnie kliknij polecenie Przenieś.

4. W oknie dialogowym Przenieś kliknij folder, do którego chcesz przenieść

konto użytkownika.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie:

dsmove NazwaWyróżniającaUżytkownika
[-newparent NazwaWyróżniającaWęzłaNadrzędnego]

Aby ustawić godziny logowania

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Users.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Users

Ewentualnie kliknij folder zawierający konto użytkownika.

3. Kliknij prawym przyciskiem myszy konto użytkownika, a następnie

kliknij polecenie Właściwości.

4. Na karcie Konto kliknij przycisk Godziny logowania, a następnie ustaw

godziny dozwolonego i zabronionego logowania dla użytkownika

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

22

Aby wyłączyć lub włączyć konto użytkownika

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Users.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Users

Ewentualnie kliknij folder zawierający konto użytkownika.

3. W okienku szczegółów kliknij użytkownika prawym przyciskiem myszy.

4. W zależności od stanu konta, wykonaj jedną z następujących czynności:

•

Aby wyłączyć konto, kliknij polecenie Wyłącz konto.

•

Aby włączyć konto, kliknij polecenie Włącz konto.

Aby zmapować certyfikat na konto użytkownika

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Users.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Users

Ewentualnie kliknij folder zawierający konto użytkownika.

3. W okienku szczegółów kliknij konto użytkownika, do którego chcesz

zamapować certyfikat.

4. W menu Akcja kliknij polecenie Mapowania nazw.

5. W oknie dialogowym Mapowanie tożsamości zabezpieczeń, na karcie

Certyfikaty X.509 kliknij przycisk Dodaj.

6. Wpisz nazwę i ścieżkę pliku cer zawierającego certyfikat, który chcesz

zmapować na dane konto użytkownika, a następnie kliknij przycisk
Otwórz.

7. W zależności od stanu konta, wykonaj jedną z następujących czynności:

•

Zmapowanie certyfikatu na jedno konto (mapowanie ”jeden na
jeden”).

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

23

•

Zmapowanie wszystkich certyfikatów, które mają ten sam pod-
miot, na konto użytkownika, niezależnie od wystawcy tych certy-
fikatów (mapowanie ”wiele na jeden”).

•

Zmapowanie wszystkich certyfikatów, które mają tego samego wy-
stawcę, na konto użytkownika, niezależnie od podmiotu tych cer-
tyfikatów (mapowanie ”wiele na jeden”).

Aby zmienić grupę podstawową użytkownika

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Users.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Users

Ewentualnie kliknij folder zawierający konto użytkownika.

3. W okienku szczegółów kliknij prawym przyciskiem myszy użytkowni-

ka, którego właściwości chcesz zmienić, a następnie kliknij polecenie
Właściwości.

4. Na karcie Członek grupy kliknij grupę, którą chcesz ustawić jako gru-

pę podstawową użytkownika, a następnie kliknij przycisk Ustaw grupę
podstawową.

Aby usunąć konto użytkownika

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Users.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Users

Ewentualnie kliknij folder zawierający konto użytkownika.

3. W okienku szczegółów kliknij prawym przyciskiem myszy konto użyt-

kownika, a następnie kliknij polecenie Usuń

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

24

4.4.2 Zarządzanie grupami w domenie

Do zadań związanych bezpośrednio z zarządzaniem grupami w domenie

zaliczyć można:

•

Tworzenie nowej grupy

•

Dodawanie członka do grupy

•

Zezwalanie użytkownikom anonimowym na przynależność do grupy za-
bezpieczeń Wszyscy na kontrolerze domeny

•

Konwertowanie grupy na inny typ grupy

•

Zmienienie zakresu grupy

•

Usuwanie grupy

•

Znajdowanie grup, których członkiem jest określony użytkownik

•

Przypisywanie praw użytkownika grupie w usłudze Active Directory

Aby utworzyć nową grupę w domenie

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij folder zawierający grupę, do której chcesz

dodać członka.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/folder zawierający grupę

3. W okienku szczegółów kliknij prawym przyciskiem myszy grupę, a na-

stępnie kliknij polecenie Właściwości.

4. Na karcie Członkowie kliknij przycisk Dodaj.

5. W polu Wprowadź nazwy obiektów do wybrania wpisz nazwę obiektu

typu użytkownik, grupa lub komputer, który chcesz dodać do grupy, a
następnie kliknij przycisk OK.

6. W polu Nazwisko wpisz nazwisko użytkownika.

Przy użyciu wiersza polecenia:

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

25

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsmod group NazwaWyróżniającaGrupy -addmbr
NazwaWyróżniającaCzłonka

Aby dodać członka do grupy w domenie

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij prawym przyciskiem myszy folder, w którym

chcesz dodać nową grupę.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/folder

3. Wskaż polecenie Nowy, a następnie kliknij polecenie Grupa.

4. Wpisz nazwę nowej grupy. Domyślnie wpisywana nazwa jest również

wprowadzana jako nazwa nowej grupy dla systemów starszych niż Win-
dows 2000.

5. W obszarze Zakres grupy kliknij jedną z wyświetlonych opcji.

6. W obszarze Typ grupy kliknij jedną z wyświetlonych opcji.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsadd group NazwaWyróżniającaGrupy
-samid NazwaSAM -secgrp yes | no -scope l | g | u

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

26

Aby zezwolić członkom grupy Logowanie anonimowe na przynależ-
ność do grupy Wszyscy na komputerze lokalnym

1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Na-

rzędzia administracyjne, a następnie kliknij polecenie Zasady zabezpie-
czeń domeny.

2. W drzewie konsoli kliknij węzeł Opcje zabezpieczeń.

Ustawienia zabezpieczeń/Zasady lokalne/
Opcje zabezpieczeń

3. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Do-

stęp sieciowy: zezwalaj na stosowanie uprawnień Wszyscy do anonimo-
wych użytkowników, a następnie kliknij polecenie Właściwości.

4. Wpisz nazwę nowej grupy. Domyślnie wpisywana nazwa jest również

wprowadzana jako nazwa nowej grupy dla systemów starszych niż Win-
dows 2000.

5. Zaznacz pole wyboru Definiuj następujące ustawienia zasad, a następ-

nie kliknij opcję Włączone.

Aby przekonwertować grupę na inny typ grupy

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij folder zawierający grupę, którą chcesz prze-

konwertować na inny typ grupy.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/folder

3. W okienku szczegółów kliknij prawym przyciskiem myszy grupę, a na-

stępnie kliknij polecenie Właściwości.

4. Na karcie Ogólne, w obszarze Typ grupy kliknij żądany typ grupy.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsmod group NazwaWyróżniającaGrupy -secgrp {yes|no}

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

27

Aby zmienić zakres grupy

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij folder zawierający grupę, której zakres chcesz

zmienić.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/folder

3. W okienku szczegółów kliknij prawym przyciskiem myszy grupę, a na-

stępnie kliknij polecenie Właściwości.

4. Na karcie Ogólne, w obszarze Zakres grupy kliknij żądany zakres grupy.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsmod group NazwaWyróżniającaGrupy -scope L|G|U

Aby usunąć grupę

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij folder zawierający grupę, którą chcesz usunąć.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/folder

3. W okienku szczegółów kliknij grupę prawym przyciskiem myszy, a na-

stępnie kliknij polecenie Usuń.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsrm NazwaWyróżniającaGrupy

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

28

Aby znaleźć grupy, których członkiem jest określony użytkownik

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Users.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Users

3. W okienku szczegółów kliknij prawym przyciskiem myszy polecenie

Właściwości.

4. Kliknij kartę Członek grupy.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsget user NazwaWyróżniającaUżytkownika -memberof

Aby przypisać prawa użytkownika grupie w usłudze Active Direc-
tory

1. Otwórz przystawkę Zasady zabezpieczeń kontrolera domeny.

2. W drzewie konsoli kliknij węzeł Przypisywanie praw użytkownika.

Ustawienia zabezpieczeń/Zasady lokalne/
Przypisywanie praw użytkownika

3. Kliknij przycisk Dodaj użytkownika lub grupę.Jeśli ten przycisk jest

wygaszony, zaznacz pole wyboru Definiuj następujące ustawienia zasad.

4. Kliknij kartę Członek grupy.

5. Wpisz nazwę grupy, której chcesz przypisać to prawo.

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

29

Uwagi dotyczące zarządzania grupami w domenie

•

Aby wykonać niektóre procedury, użytkownik musi być członkiem gru-
py Operatorzy kont, Administratorzy domeny lub Administratorzy przed-
siębiorstwa w usłudze Active Directory albo mieć delegowane odpo-
wiednie uprawnienia. Ze względów bezpieczeństwa zalecane jest wyko-
nanie tej procedury przy użyciu funkcji Uruchom jako. Aby uzyskać
więcej informacji, zobacz Domyślne grupy lokalne, Grupy domyślne i
Korzystanie z funkcji Uruchom jako.

•

Jeśli wykonanie zadania nie wymaga posiadania poświadczeń admini-
stracyjnych. Dlatego dobrą praktyką, zapewniającą większe bezpieczeń-
stwo, jest wykonywanie tego zadania za pomocą konta użytkownika bez
poświadczeń administracyjnych.

•

Aby otworzyć przystawkę Użytkownicy i komputery usługi Active Di-
rectory, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij
dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwu-
krotnie ikonę Użytkownicy i komputery usługi Active Directory.

•

Oprócz użytkowników i komputerów członkostwo określonej grupy mo-
że obejmować kontakty oraz inne grupy.

•

Podczas administrowania domeną podmioty zabezpieczeń z domeny
nadrzędnej lub innych domen zaufanych nie są wyświetlane na karcie
Członek grupy właściwości użytkowników domeny. Jedynymi kontami
domeny, które możesz dodać lub wyświetlić, są obecne grupy domeny.
Pokazywane są tylko grupy z danej domeny, nawet jeśli członek należy
do grup z innych, zaufanych domen.

•

Jeśli poziomem funkcjonalności domeny, w której tworzysz grupę, jest
tryb mieszany systemu Windows 2000, możesz wybrać tylko typ gru-
py Zabezpieczenia z zakresem Lokalny w domenie lub Globalny. Aby
uzyskać więcej informacji, zobacz sekcję Tematy pokrewne.

•

Zakresy grup można zmieniać tylko w przypadku, gdy poziomem funk-
cjonalności domeny jest tryb macierzysty systemu Windows 2000 lub
wyższy poziom.

•

Usunięcie grupy jest operacją nieodwracalną.

•

Aby otworzyć przystawkę Użytkownicy i komputery usługi Active Di-
rectory, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

30

dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwu-
krotnie ikonę Użytkownicy i komputery usługi Active Directory.

•

Na karcie Członek grupy konta użytkownika jest wyświetlana lista grup
domeny, do której należy to konto użytkownika. Usługa Active Directo-
ry nie wyświetla grup należących do domen zaufanych, których człon-
kiem jest użytkownik.

•

Aby otworzyć przystawkę Zasady zabezpieczeń kontrolera domeny, klik-
nij przycisk Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie
ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę
Zasady zabezpieczeń kontrolera domeny.

•

Aby wyświetlić pełną składnię dowolnego polecenia, w wierszu polece-
nia wpisz:

polecenie /?

4.4.3 Zarządzanie komputerami w domenie

Do zadań związanych bezpośrednio z zarządzaniem komputerami w do-

menie zaliczyć można:

•

Tworzenie nowego konta komputera

•

Dodawanie konta komputera do grupy

•

Usuwanie konta komputera

•

Zarządzanie komputerem zdalnym

•

Przenoszenie konta komputera

•

Resetowanie konta komputera

•

Wyłączanie i włączanie konta komputera

Aby utworzyć nowe konto komputera w domenie

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij prawym przyciskiem myszy węzeł Computers.

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

31

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Computers

Ewentualnie kliknij prawym przyciskiem myszy folder, w którym chcesz
dodać komputer.

3. Wskaż polecenie Nowy, a następnie kliknij polecenie Komputer.

4. Wpisz nazwę komputera.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsadd computer NazwaWyróżniającaKomputera

Aby dodać konto komputera do grupy

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij prawym przyciskiem myszy węzeł Computers.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Computers

Ewentualnie kliknij folder, w którym znajduje się komputer.

3. W okienku szczegółów kliknij prawym przyciskiem myszy komputer, a

następnie kliknij polecenie Właściwości.

4. Na karcie Członek grupy kliknij przycisk Dodaj.

5. W obszarze Wprowadź nazwy obiektów do wybrania wpisz nazwę gru-

py, do której chcesz dodać ten komputer, a następnie kliknij przycisk
OK.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsmod group NazwaWyróżniającaGrupy
-addmbr NazwaWyróżniającaKomputera

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

32

Aby usunąć konto komputera

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Computers.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Computers

Ewentualnie kliknij folder, w którym znajduje się komputer.

3. W okienku szczegółów kliknij prawym przyciskiem myszy komputer, a

następnie kliknij polecenie Usuń.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsrm computer NazwaWyróżniającaKomputera

Aby zarządzać komputerem zdalnym

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Computers.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Computers

Ewentualnie kliknij folder zawierający komputer, którym chcesz zarzą-
dzać.

3. W okienku szczegółów kliknij prawym przyciskiem myszy komputer, a

następnie kliknij polecenie Zarządzaj.

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

33

Aby przenieść konto komputera

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Computers.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Computers

Ewentualnie kliknij folder zawierający komputer, który chcesz prze-
nieść.

3. W okienku szczegółów kliknij komputer prawym przyciskiem myszy, a

następnie kliknij polecenie Przenieś.

4. W oknie dialogowym Przenieś kliknij węzeł domeny.

5. Kliknij folder, do którego chcesz przenieść komputer, a następnie kliknij

przycisk OK.

Aby zresetować konto komputera

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Computers.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Computers

Ewentualnie kliknij folder zawierający komputer, który chcesz zreseto-
wać.

3. W okienku szczegółów kliknij komputer prawym przyciskiem myszy, a

następnie kliknij polecenie Resetuj konto.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsmod computer NazwaWyróżniającaKomputera -reset

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

34

Aby wyłączyć lub włączyć konto komputera

Przy użyciu interfejsu systemu Windows:

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli kliknij węzeł Computers.

Użytkownicy i komputery usługi Active Directory/
węzeł domeny/Computers

Ewentualnie kliknij folder zawierający komputer, który chcesz włączyć
lub wyłączyć.

3. W okienku szczegółów kliknij prawym przyciskiem myszy żądany kom-

puter, a następnie wykonaj jedną z następujących czynności:

•

Aby wyłączyć konto, kliknij polecenie Wyłącz konto.

•

Aby włączyć konto, kliknij polecenie Włącz konto.

Przy użyciu wiersza polecenia:

1. Otwórz okno wiersza polecenia

2. Wpisz polecenie

dsmod computer NazwaWyróżniającaKomputera -disabled {yes|no}

Uwagi dotyczące zarządzania komputerami w domenie

•

Aby wykonać te procedury, użytkownik musi być członkiem grupy Ope-
ratorzy kont, Administratorzy domeny lub Administratorzy przedsię-
biorstwa w usłudze Active Directory albo mieć delegowane odpowiednie
uprawnienia. Ze względów bezpieczeństwa zalecane jest wykonanie tej
procedury przy użyciu funkcji Uruchom jako. Aby uzyskać więcej infor-
macji, zobacz Domyślne grupy lokalne, Grupy domyślne i Korzystanie
z funkcji Uruchom jako.

•

Wykonanie zadania ”Zarządzanie komputerem zdalnym” nie wymaga
posiadania poświadczeń administracyjnych. Dlatego dobrą praktyką,
zapewniającą większe bezpieczeństwo, jest wykonywanie tego zadania
za pomocą konta użytkownika bez poświadczeń administracyjnych.

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

35

•

Aby otworzyć przystawkę Użytkownicy i komputery usługi Active Di-
rectory, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij
dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwu-
krotnie ikonę Użytkownicy i komputery usługi Active Directory.

•

Domyślnie członkowie grupy Operatorzy kont mogą tworzyć konta kom-
puterów w kontenerze Computers i w nowych jednostkach organizacyj-
nych.

•

Domyślnie członkowie grupy Użytkownicy uwierzytelnieni w domenie
mają przypisane prawo użytkownika Dodawanie stacji roboczych do
domeny i mogą utworzyć maksymalnie 10 kont komputerów w domenie.

•

Są jeszcze dwa inne sposoby udzielania użytkownikowi lub grupie upraw-
nienia do dodawania komputera do domeny: Użyj obiektu zasad grupy,
aby przypisać uprawnienie użytkownika Dodawanie komputera, lub, w
jednostce organizacyjnej, przypisz użytkownikowi lub grupie uprawnie-
nie Tworzenie obiektów typu komputer.

•

Aby wyświetlić lub zmienić nazwę komputera i zmodyfikować domenę,
do której on należy, kliknij przycisk Start, kliknij prawym przyciskiem
myszy ikonę Mój komputer, kliknij polecenie Właściwości, kliknij kartę
Nazwa komputera, a następnie kliknij przycisk Zmień.

•

Jeśli na komputerze, który będzie używał tworzonego konta, jest za-
instalowany system starszy niż Windows 2000, zaznacz pole wyboru
Przypisz to konto komputera jako komputer z systemem starszym niż
Windows 2000.

•

Jeśli komputer, który będzie używał tworzonego konta, jest zapaso-
wym kontrolerem domeny systemu Windows NT, zaznacz pole wyboru
Przypisz to konto komputera jako zapasowy kontroler domeny.

•

Aby otworzyć wiersz polecenia, kliknij przycisk Start, wskaż polece-
nie Wszystkie programy, wskaż polecenie Akcesoria, a następnie kliknij
polecenie Wiersz polecenia.

•

Po wyświetleniu użytkowników, komputerów i grup jako kontenerów
możesz dodać komputer do grupy, przeciągając go do żądanej grupy

•

Dodanie komputerów do grupy pozwala na przypisanie uprawnień wszyst-
kim kontom komputerów należącym do danej grupy i odfiltrowanie
ustawień zasad grupy dla wszystkich kont w tej grupie.

Ćwiczenie 4 - Zarządzanie użytkownikami i grupami w domenie

36

•

Konto komputera można również usunąć, odłączając komputer od do-
meny.

•

Usunięcie konta komputera powoduje, że wszystkie uprawnienia i człon-
kostwa skojarzone z tym komputerem zostają trwale usunięte. Ponie-
waż identyfikator zabezpieczeń (SID) dla każdego konta jest unikato-
wy, nowe konto komputera o takiej samej nazwie, jak konto uprzed-
nio usunięte, nie dziedziczy uprawnień ani członkostw konta uprzednio
usuniętego. Aby zduplikować usunięte konto użytkownika, wszystkie
uprawnienia i członkostwa trzeba ponownie utworzyć ręcznie.

•

Kliknięcie polecenia Zarządzaj powoduje uruchomienie apletu Zarzą-
dzanie komputerem, za pomocą którego można administrować kompu-
terami zdalnymi. Do wyświetlania pewnych informacji lub modyfiko-
wania właściwości komputera za pomocą przystawki Zarządzanie kom-
puterem są potrzebne poświadczenia administracyjne na komputerze
lokalnym.

•

Przystawki Użytkownicy i komputery usługi Active Directory nie moż-
na używać do przenoszenia kont komputerów między domenami. Aby
przenieść konto komputera do innej domeny, użyj narzędzia Movetree,
jednego z narzędzi obsługi Active Directory. Aby uzyskać więcej infor-
macji, zobacz sekcję Tematy pokrewne.

•

Członkowie grupy Operatorzy kont mogą przenosić konta kompute-
rów do jednostek organizacyjnych, ale nie do kontenerów domyślnych,
takich jak Builtin (Wbudowane) czy Computers (Komputery). Opera-
torzy kont nie mogą jednak przenosić kont komputerów do jednostki
organizacyjnej Kontrolery domeny (ale mogą przenosić konta kompu-
terów z jednostki organizacyjnej Kontrolery domeny).

•

Po wyłączeniu konta komputera nie może on uwierzytelnić się w dome-
nie, dopóki jego konto nie zostanie ponownie włączone.

•

Aby wyświetlić pełną składnię dowolnego polecenia, w wierszu polece-
nia wpisz: polecenie /?

Literatura

1. Materiały powstałe przy współudziale wykładowców autoryzowanych ośrod-

ków szkoleniowych Microsoft Poradnik Administratora Windows Server
2008

, Microsoft TechNet 2008.

Ćwiczenie 4 - Problemy do rozwiązania przed ćwiczeniem

37

2. Microsoft Technet - Windows Server TechCenter Biblioteki techniczni sys-

temów Windows Server

,

(http://technet.microsoft.com/pl-pl/library/cc728909.aspx)

3. Conan Kezema, Mike Mulcare, Stan Reimer, Byron Wright Active Direc-

tory Windows Server 2008. Resource Kit

, Microsoft Press 2008.

4. Rand Morimoto, Michael Noel, Omar Droubi, Ross Mistry, Chris Amaris

Windows Server 2008 PL. Księga eksperta

, Helion 2009.

5. Jeffrey R. Shapiro Windows Server 2008 PL. Biblia, Helion 2009.

6. William R. Stanek Microsoft Windows Server 2008 R2 Vademecum ad-

ministratora, wyd. II

, Microsoft Press 2010.

4.5 Problemy do rozwiązania przed ćwicze-

niem

1. Zapoznać się z treścią instrukcji pozostałych ćwiczeń laboratoryjnych,

które dotyczą systemu sieciowego Windows Server;

2. Zapoznać się z ”Przewodnikiem po pomocy i sposobach uzyskiwania

informacji”, udostępnionym na stronach Windows Server TechCenter
(http://technet.microsoft.com/pl-pl/library/cc728909.aspx);

3. Uzupełnić wiadomości dotyczące systemu Windows 2008 Serwer oraz

zapoznać się z treścią ”Biblioteki technicznej Windows Server 2008 i
Windows Server 2008 R2”, udostępnionej na stronach Microsoft Tech-
net - Windows Server TechCenter
(http://technet.microsoft.com/pl-pl/library/dd349801(WS.10).aspx);

4. Uzupełnić swoją wiedzę i zapoznać się z treścią artykułów zgromadzo-

nych na Internetowym Portalu Społeczności Windows Server System
(http://www.wss.pl/ArticlesList.aspx);

5. Uzupełnić swoją wiedzę i zapoznać się z treścią artykułów zgromadzo-

nych na Internetowym Portalu Jama Mastaha
(http://infojama.pl/Artykuly.aspx);

6. Skopiować z Platformy Zdalnej Edukacji Instytutu Elektroniki

(http://platforma.polsl.pl/rau3) udostępnione pliki i zapoznać się
z ich zawartością - w tym z prezentacją multimedialną dotyczącą po-
krewnego serwera sieciowego - Microsoft Small Business 2003 Server.

Ćwiczenie 4 - Program ćwiczenia

38

4.6 Program ćwiczenia

4.6.1 Zarządzanie grupą użytkowników w Kontrolerze

domeny (Active Directory)

1. Uruchomić ”Kreator konfigurowania serwera” i zainstalować Kontro-

ler Domeny Active Directory. Nazwa domeny zostanie podana przez
prowadzącego.

2. Utworzyć w domenie użytkowników S?ANIA, S?ELA i S?JAN (gdzie ? to

numer sekcji). Utworzeni użytkownicy nie powinni należeć do grupy ad-
ministratorów serwera, ale powinni mieć możliwość dostępu do pulpitu
zdalnego serwera. Jednym ze sposobów jest nadanie tym użytkownikom
żądanych praw w odpowiedniej przystawce konsoli MMC (konfiguracja
usług terminalowych – Połączenie – RDP-Tcp – Właściwości – Upraw-
nienia – Dodaj/Usuń);

3. Ustawić godziny logowania użytkowników:

• S?ANIA

- logowanie w dzień zajęć laboratoryjnych, w godzinach

8:00 - 20:00;

• S?ELA

- logowanie w dzień zajęć laboratoryjnych, w godzinach 8:00

- 20:00;

• S?JAN

- logowanie przez cały tydzień roboczy (poniedziałek - pią-

tek), w godzinach 8:00 - 20:00;

4. Utworzyć w domenie grupę o nazwie S?GRUPA-NAZWA-DOMENY (gdzie ?

to numer sekcji);

5. Zapisać do zasobu S?GRUPA-NAZWA-DOMENY użytkowników S?ANIA i S?ELA;

6. Na wskazanym przez prowadzącego dysku utworzyć następującą struk-

turę katalogów i plików (gdzie ? to numer sekcji):

\USERS?\S?GRUPA\S?ANIA
\USERS?\S?GRUPA\S?ANIA\SEKRETY
\USERS?\S?GRUPA\S?ANIA\SEKRETY\sekrety.txt
\USERS?\S?GRUPA\S?ELA\
\USERS?\S?GRUPA\S?ELA\SEKRETY
\USERS?\S?GRUPA\S?ELA\SEKRETY\sekrety.txt
\USERS?\S?GRUPA\S?JAN\
\USERS?\S?GRUPA\S?JAN\SEKRETY

Ćwiczenie 4 - Program ćwiczenia

39

\USERS?\S?GRUPA\S?JAN\SEKRETY\sekrety1.txt
\USERS?\S?GRUPA\S?JAN\SEKRETY\sekrety2.txt
\USERS?\S?GRUPA\ZASOBY\
\USERS?\S?GRUPA\ZASOBY\PROGRAMY
\USERS?\S?GRUPA\ZASOBY\DANE
\USERS?\S?GRUPA\ZASOBY\DANE\example.txt

7. Począwszy od zasobu USERS? nadać użytkownikowi S?JAN i ADMINEK

pełne prawa w drzewie do plików i folderów;

8. W katalogu SEKRETY użytkownika S?JAN:

•

Utworzyć dwa pliki tekstowe sekrety1.txt oraz sekrety2.txt;

•

Włączyć szyfrowanie obu plików w katalogu SEKRETY użytkownika
S?JAN

;

•

Ustawić użytkowników którzy mogą uzyskiwać przezroczysty do-
stęp do plików - S?JAN, S?ANIA, ADMINEK. Właściwy certyfikat
zostanie wygenerowany w momencie zaszyfrowania przez danego
użytkownika dowolnego pliku w systemie (w tym celu można za-
łożyć w katalogu TEMP dowolny plik tekstowy i zaszyfrować go);

•

Użytkownikom S?ANIA i S?ELA nadać prawo odczytu samego ka-
talogu SEKRETY;

9. Katalog S?ANIA uczynić katalogiem domowym użytkownika S?ANIA;

10. Katalog S?ELA uczynić katalogiem domowym użytkownika S?ELA;

11. W odpowiednim podkatalogu katalogu domowego użytkownika S?ANIA

utworzyć plik tekstowy sekrety.txt i nadać użytkownikowi S?ELA pra-
wo odczytu tego pliku;

12. W odpowiednim podkatalogu katalogu domowego użytkownika S?ELA

utworzyć plik tekstowy
sekrety.txt

i nadać użytkownikowi S?ANIA prawo odczytu oraz edycji

tego pliku;

13. Zasobowi S?GRUPA nadać następujące prawa w odpowiednich katalo-

gach:

•

W katalogu ZASOBY - prawa: wyświetlenie zawartości folderu oraz
odczyt;

Ćwiczenie 4 - Program ćwiczenia

40

•

W katalogu DANE - prawa: wyświetlenie zawartości folderu, odczyt
oraz zapis;

•

W katalogu DANE utworzyć plik tekstowy example.txt;

•

W katalogu PROGRAMY - prawa: zapis i wykonanie, wyświetlenie
zawartości folderu oraz odczyt;

•

Do katalogu PROGRAMY skopiować wskazany przez prowadzącego
plik wykonywalny oraz usunąć możliwość uruchamiania tegoż pli-
ku użytkownikowi S?ELA (prawo pliku zapis i wykonanie);

14. Utworzyć w domenie nowy obiekt typu Organizational Unit o nazwie

S?GRUPA-OU

(gdzie ? to numer sekcji);

15. Przenieść do nowego obiektu OU wszystkich utworzonych użytkowni-

ków;

16. Sprawdzić nazwę użytkowanego komputera - stacji roboczej;

17. Utworzyć nowe konto komputera w domenie Active Directory;

18. Zalogować się ze stacji roboczej do utworzonej domeny Active Directory

oraz sprawdzić czy;

•

Użytkownik S?JAN ma pełna kontrolę nad gałęzią S?GRUPA;

•

Użytkownik S?JAN ma pełny dostęp do zaszyfrowanych plików
sekrety1.txt

oraz sekrety2.txt;

•

Użytkownik S?ANIA ma pełna kontrolę nad swoim katalogiem do-
mowym;

•

Użytkownik S?ANIA może dokonywać modyfikacji plików:
sekrety.txt

w katalogu domowym użytkownika S?ELA oraz

example.txt

w katalogu DANE;

•

Użytkownik S?ANIA może uruchamiać plik wykonywalny z katalo-
gu PROGRAMY;

•

Użytkownik S?ANIA ma nieograniczony dostęp do zaszyfrowanych
plików sekrety1.txt oraz sekrety2.txt;

•

Użytkownik S?ELA ma pełna kontrolę nad swoim katalogiem do-
mowym;

•

Użytkownik S?ELA może dokonywać modyfikacji plików:
sekrety.txt

w katalogu domowym użytkownika S?ANIA oraz

example.txt

w katalogu DANE;

Ćwiczenie 4 - Program ćwiczenia

41

•

Użytkownik S?ELA może uruchamiać plik wykonywalny z katalogu
PROGRAMY

;

•

Użytkownik S?ELA ma dostęp do zaszyfrowanych plików sekrety1.txt
oraz sekrety2.txt.

19. Po sprawdzeniu poprawności wykonania ćwiczenia przez prowadzącego

usunąć - wszystkie stworzone obiekty.