Konta komputerów
k
Zadania egzaminacyjne omawiane w tym rozdziale:
• Tworzenie i zarządzanie kontami komputerów w środowisku usługi katalogowej Microsoft Active
Directory
• Rozwiązywanie problemów kont komputerów
» Diagnoza i rozwiązywanie zagadnień dotyczących kont komputerów za pomocą przystawki konsoli
MMC (Microsoft Management Consolc) — Active Directory Users and Computers (Użytkownicy i
komputery usługi Active Directory)
» Zerowanie kont komputerów
Cele rozdziału
Każdy administrator sieci zdaje sobie sprawę, że wraz z upływem czasu, w przedsiębiorstwie
przybywa sprzętu, komputery ulegają awariom, zmieniają się role i użytlcownicy danego komputera,
a stary sprzęt jest wyłączany z eksploatacji lub rozbudowywany, co prowadzi do nabywania
systemów zastępczych. Wszystkie te czynności wymuszają aktualizacje kont komputerów usługi
Active Directory.
Po przeprowadzeniu uwierzytelnienia użytkownika za pomocą nazwy obiektu użytkownika i hasła,
komputer obsługuje konto, które ma nazwę oraz hasło służące do utworzenia bezpiecznych relacji
pomiędzy komputerem a domeną. Użytkownik może zapomnieć swoje hasło, co powoduje
konieczność wyczyszczenia hasła przez administratora lub może być na urlopie, co z kolei wymaga
wyłączenia obiektu użytkownika. Podobnie, konto komputera może wymagać zerowania lub
wyłączania.
W niniejszym rozdziale omawiane są sposoby tworzenia obiektów komputera, które zawierają
właściwości zabezpieczeń wymaganych, aby obiekt stał się „kontem" oraz sposoby zarządzania tymi
obiektami za pomocą graficznego interfejsu użytkownika przystawki Actiye Directory Users And
Computers (Użytkownicy i komputery usługi Active Directory), jak również za pomocą wydajnych
narzędzi wiersza poleceń systemu Microsoft Windows Server 2003. W rozdziale opisany jest również
proces łączenia komputera z domeną tak, aby można było rozpoznać potencjalne miejsca awarii i
bardziej efektywnie rozwiązywać problemy dotyczące kont komputerów. Na koniec przedstawione
będą ćwiczenia służące opanowaniu podstawowych umiejętności wymaganych do rozwiązywania
problemów i naprawy kont komputerów.
Lekcje rozdziału:
• Lekcja 1: Dołączanie komputera do domeny ......................................................................................147
• Lekcja 2: Zarządzanie kontami komputerów ......................................................................................157
• Lekcja 3: Rozwiązywanie problemów związanych z kontami komputerów .......................................162
145
146
MCSE Training Kit: Egzamin 70-290
Wymagania
W rozdziale tym przedstawione są umiejętności i pojęcia dotyczące kont komputerów usługi Actirc
Directory. Jeśli student chciałby przeprowadzić ćwiczenia praktyc/.nc w oparciu o prezentowane w roz-
dziale przykłady i ćwiczenia, powinien przygotować następujące elementy:
• Komputer z zainstalowanym systemem Windows Server 2003 (Standard Edition lub Enterprise
Edition). Serwer nazwany powinien być Server01 i skonfigurowany jako kontroler domeny w domenie
contoso.com.
• Jednostki organizacyjne pierwszego poziomu to: „Administrative Groups," „Dcsktops," ora „Servers."
• W jednostce organizacyjnej Administrative Groups powinna znajdować się globalna grupa zabez-
pieczeń nazwana „Dcployment."
• Konsolę Active Directory Users And Computcrs (Użytkownicy i komputery usługi Actiw Directory)
lub niestandardową konsolę MMC zawierającą przystawkę Active Directory Uscrs Ani Computers
(Użytkownicy i komputery usługi Active Directory).
• Jedno z ćwiczeń, dołączenie komputera do domeny, jest możliwe tylko wtedy, kiedy dysponujemy
dodatkowym komputerem działającym pod kontrolą jednego z systemów: Microsoft Window 2000
Professional, Windows XP lub Windows Server 2003 i połączonym z serwerem Serverfll. Serwer
Server01 lub inny musi mieć prawidłowo skonfigurowane usługi DNS, a komputer dodatkowy musi
być skonfigurowany, by używał właśnie tego serwera DNS, dzięki czemu będzie mógł zlokalizować
kontroler domeny (Server01) i domenę contoso.com.
Rozdział 5: Konta komputerów 147
Lekcja 1: Dołączanie komputera do domeny
Domyślna konfiguracja dla systemu Windows Server 2003, a także wszystkich systemów operacyjnych
Microsoft Windows określa, że komputer należy do grupy roboczej. W grupie roboczej, komputer bazujący
na systemie Windows NT (co dotyczy też systemów Windows NT 4, Windows 2000, Windows XP oraz
Windows Server 2003) może uwierzytelniać użytkowników jedynie w oparciu o lokalną bazę danych SAM
(Security Accounts Manager). Uwzględniając wszystkie jego zadania i przeznaczenie, jest to system
autonomiczny. Jego członkostwo w grupie roboczej odgrywa mniejszą rolę, w szczególności dla usługi
przeglądania. Pomimo, że użytkownik może połączyć się z udostępnionym zasobem innego komputera
grupy roboczej lub domeny, w rzeczywistości za pomocą konta domeny użytkownik nie jest nigdy
zalogowany do komputera.
Zanim możliwe będzie zalogowanie się na komputerze za pomocą konta użytkownika domeny, komputer
ten musi należeć do domeny. Dwa kroki wymagane do przyłączenia komputera do domeny to: utworzenie
konta komputera oraz skonfigurowanie komputera tak, aby przyłączył się do domeny za pomocą tego konta.
Niniejsza lekcja omawia umiejętności dotyczące tworzenia kont komputerów oraz dołączania komputerów
do domen. Bardziej szczegółowy opis samych kont komputerów został zamieszczony w następnej lekcji.
Obsługa kont komputerów, podobnie jak dla użytkowników, obejmuje nazwę, hasło i identyfikator
zabezpieczeń (SID). Właściwości te są zawarte w klasie obiektu komputera usługi Activc Directory. Z tego
powodu, przygotowanie komputera, aby stał się częścią domeny, jest procesem bardzo podobnym do
przypadku użytkownika: należy utworzyć obiekt komputera w usłudze Active Directory.
Materiały omówione podczas lekcji pozwalają na
• Tworzenie kont komputerów za pomocą konsoli Active Directory Users And Computers
(Użytkownicy i komputery usługi Active Directory)
• Tworzenie kont komputerów za pomocą programu narzędziowego wiersza poleceń DSADD
• Tworzenie kont komputerów za pomocą programu narzędziowego wiersza poleceń
NETDOM
• Dołączanie komputera do domeny poprzez zmianę właściwości identyfikacji sieciowej
• Zapoznanie się z istotnymi zagadnieniami tworzenia konta komputera przed przyłączeniem
do domeny
Szacunkowy czas lekcji: 20 minut
148
MCSE Training Kit: Egzamin 70-290
Tworzenie kont komputerów
Aby otworzyć obiekt komputeta w usłudze Active Directory, administrator musi być członkiem gtupB
Administratorzy lub Account Operators (Operatorzy kont), znajdujących się na kontrolerach domc.
Domyślne ustawienia określają, że grupy Domain Admins (Administratorzy domeny) oraz Enterpmt I
Admins (Administratorzy przedsiębiorstwa) są członkami grupy Administratorzy. Alternatywnym roz- I
wiązaniem jest przekazanie administracji (delegowanie) tak, aby inni użytkownicy bądź grupy mogli I
tworzyć obiekty komputera.
Użytkownicy domeny mogą również tworzyć obiekty komputera przy użyciu interesującego, pośred-1|
niego procesu. Jeśli komputer został przyłączony do domeny, a konto komputera nic istnieje, usługa I
Active Directory automatycznie tworzy taki obiekt. Obiekt komputera domyślnie powstaje w jed-1 nostce
organizacyjnej Computers. Każdy użytkownik grupy Authenticated Users (Użytkownicy uwie-1
rzytclnicni), czyli w rezultacie dotyczy to wszystkich użytkowników, może przyłączyć 10 komputerów! do
domeny i w ten sposób utworzyć do 10 obiektów komputera.
Tworzenie obiektów komputera za pomocą konsoli Active Directory Users
and Computers (Użytkownicy i komputery usługi Active Directory)
W celu utworzenia obiektu komputera lub „konta" należy otworzyć przystawkę Active Directory Ustni And
Computers i zaznaczyć kontener lub jednostkę organizacyjną, w której obiekt ma zostać utworzony. I W
menu Action (Akcja) lub w menu skrótów (po kliknięciu kontenera prawym przyciskiem myszjjl należy
wybrać polecenie New-Computer (Nowy-Komputer). Wyświetlone zostanie okno dialogom^ New Object—
Computer (Nowy obiekt — Komputer), takie jak przedstawione na rysunku 5-1.
Rysunek 5-1. Okno dialogowe New Object-Computer (Nowy obiekt- Komputer)
W oknie dialogowym New Object-Computer należy wpisać nazwę komputera. Pozostałe właściwość tego
okna będą omawiane w następnej lekcji. Po kliknięciu przycisku Next (Dalej), wyświetlane jat okno
dialogowe, w którym należy określić identyfikator GUID. Identyfikator GU1D jest używany do nazwania
konta komputera w procesie instalacji zdalnej RIS (Remote Installation Serviccs), któiy nie będzie
omawiany w tym rozdziale. Wpisanie identyfikatora GUID nie jest wymagane podczas
Rozdział 5: Konta komputerów 149
tworzenia konta komputera, gdyż połączenie z domeną będzie uzyskiwane za pośrednictwem innych
metod. Tak więc należy po prostu kolejno kliknąć przyciski Next (Dalej) oraz Finish (Zakończ).
Tworzenie obiektów komputera przy użyciu polecenia DSADD
Wszystko wskazuje na to, że można zaryzykować stwierdzenie: „nic nowego pod słońcem". Jednak przed
ostatecznym wyrażeniem takiej opinii, w przypadku systemu Windows Server 2003 trzeba zapoznać się z
przydatnym narzędziem wiersza poleceń DSADD, które umożliwia utworzenie obiektów komputera z
wiersza poleceń lub za pomocą pliku wsadowego.
W rozdziale 2 .Administracja systemu Microsoft Windows Server 2003", polecenie DSADD było
omawiane w celu utworzenia obiektów użytkownika. Aby utworzyć obiekty komputera, wystarczy wpisać
polecenie dsadd computer ComputerDN, gdzie ComputerDN jest nazwą wyróżniającą (DN) komputera,
jak na przykład CN=Desktopl23,OU=Desktops,DC=contoso,DC=com.
Jeśli nazwa DN zawiera spacje, należy całą nazwę DN objąć znakami cudzysłowu. Parametr Com-
puterDN... jest jedną lub kilkoma nazwami wyróżniającymi nowego obiektu komputera. Parametr
ComputerDN może zawierać jedną lub kilka nazw wyróżniających nowych obiektów komputera, dzięki
czemu polecenie DSADD Computer jest wygodną metodą jednoczesnego tworzenia wielu obiektów.
Patametr ComputerDN... może być wprowadzany za pomocą jednej z wymienionych poniżej metod:
• Poprzez wprowadzenie listy nazw DN za pośrednictwem innego polecenia, takiego jak dsquery
• Poprzez wpisanie w wierszu poleceń każdej nazwy DN oddzielanej znakami spacji.
• Poprzez pozostawienie pustego parametru nazwy DN. W tym momencie z klawiatury konsoli można
wpisywać w wierszu poleceń pojedyncze nazwy DN. Po każdej nazwie DN należy nacisnąć E
NTER
,
a po
ostatniej nazwie DN należy nacisnąć C
TRL
+Z.
W poleceniu DSADD COMPUTER, po parametrze DN można używać następujących parametrów
opcjonalnych:
• -samid SAMName (nazwa SAM)
• -desc Description (opis)
• -loc Location (lokalizacja)
Tworzenie konta użytkownika za pomocą polecenia NETDOM
Polecenie NETDOM jest udostępnione w zestawie Support Tools i instalowane z dysku CD-ROM systemu
Windows Server 2003 z katalogu Support\Tools. Polecenie jest także umieszczone na dyskach CD
systemów Windows XP oraz Windows 2000. Należy używać wersji zgodnej z platformą. Polecenie
NETDOM z wiersza poleceń umożliwia tworzenie szeregu kont domeny oraz wykonywanie zadań
związanych z zabezpieczeniami.
Aby utworzyć konto komputera w domenie, należy wpisać następujące polecenie:
netdom add ComputerName I domain: Dorna i nName /userd-.User
/PassuordD-.UserPassword [/ou:0i/DA/]
Polecenie to tworzy konto komputera o nazwie ComputerName w domenie o nazwie DomainName za
pośrednictwem poświadczeń domeny: User oraz UserPassword. Parametr / ou powoduje, że obiekt zostanie
utworzony w jednostce organizacyjnej wyspecyfikowanej za pomocą nazwy wyróżniającej
MCSETraining Kit: Egzamin 70-290
OUDN, która umieszczana jest za parametrem. Jeśli nazwa OUDN nie została określona, to domyślnie
konto komputera zostanie utworzone w jednostce organizacyjnej Computers. Poświadczeni!;
użytkownika muszą mieć, rzecz jasna, odpowiednie uprawnienia pozwalające na tworzenie obiektw
komputera.
Dołączenie komputera do domeny
Samo konto komputera nie wystarczy, aby utworzyć relacje zabezpieczeń pomiędzy domeną a kompw
terem. Komputer musi być połączony z domeną.
Aby przyłączyć komputer do domeny, należy postępować zgodnie z następującą procedurą:
1. Otwórz właściwości komputera dotyczące jego nazwy — okno Computer Name (Nazwa komputera).!
Okno to można otworzyć różnymi metodami:
» Otwórz program Control Panel (Panel sterowania), kliknij moduł System, po czym kliknij
zakładkę Computer Name (Nazwa komputera).
» Prawym przyciskiem myszy kliknij ikonę My Computer (Mój komputer) i wybierz polecenk
Properties (Właściwości). Następnie kliknij zakładkę Computer Name (Nazwa komputera).
Informacje Zakładka Computer Name (Nazwa komputera) w systemach Windows 2000 jest nazy-
wana Network Identification (Identyfikacja sieciowa), a przycisk Change (Zmień) opisany jest Proper-
ties (Właściwości). Jednakże funkcjonalność jest identyczna.
2. W programie Control Panel (Panel sterowania) otwórz folder Network Connections (Połączeni.
sieciowe) i w menu Advanced (Zaawansowane) wybierz polecenie Network Identification (Iden-
tyfikacja sieciowa).
3. Na zakładce Computer Name (Nazwa komputera) kliknij przycisk Change (Zmień). Wyświetlone
zostanie okno dialogowe Computer Name Changes (Zmiany nazwy komputera), pokazani na rysunku
5-2. W oknie tym można zmienić nazwę, domenę i członkostwo grupy roboczej komputera.
Wskazówka egzaminacyjna Nazwy komputera lub członkostwa nie można zmieniać, jeśli użyt-
kownik nie zalogował się za pomocą konta o uprawnieniach administracyjnych na tym komputerze.
Jedynie użytkownicy, którzy należą do grupy lokalnych administratorów, będą mogli modyfikować
te właściwości (aktywny przycisk Zmień).
Rozdział 5: Konta komputerów 151
Rysunek 5-2. Okno dialogowe Computer Name Changes (Zmiany nazwy komputera)
4. W oknie dialogowym Computer Name Changes kliknij przycisk Domain (Domena) i wpisz nazwę
domeny.
Wskazówka Pomimo, że nazwy NetBIOS domeny (płaskie) można z powodzeniem używać do zloka-
lizowania domeny docelowej, zaleca się wprowadzanie nazwy DNS. Konfiguracja DNS jest istotna dla
komputera systemów DNS Windows 2000, Windows XP lub Windows Server 2003. Stosując nazwę
DNS domeny określamy preferowany proces rozpoznawania nazwy oraz sprawdzamy konfiguracje
DNS komputera. Jeśli komputer nie mógł zlokalizować domeny, do której miał się przyłączyć, należy
sprawdzić prawidłowość wpisów konfiguracji połączenia sieciowego określających serwer DNS.
5. Kliknij przycisk OK- Komputer kontaktuje się z kontrolerem domeny. Jeśli podczas dołączania do domeny
pojawiły się problemy, należy sprawdzić połączenie sieciowe, jego konfigurację, jak również
konfigurację usługi DNS.
Jeśli natomiast połączenie zostało nawiązane, użytkownik będzie poproszony o podanie nazwy użytkownika
i hasła, które posiada uprawnienia umożliwiające połączenie z domeną (rysunek 5-3 przedstawia
odpowiednie okno dialogowe). Warto zwrócić uwagę, że wymagane poświadczenie tożsamości dotyczy
hasła i nazwy użytkownika domeny.
152
MCSE Training Kit: Egzamin 70-290
Rysunek 5-3. Wpisywanie poświadczeń tożsamości przy połączeniu do domeny
Jeśli wcześniej nie zostało utworzone konto komputera domeny o nazwie, która zgadza się z nazwą
komputera, usługa Active Directory automatycznie utworzy konto w domyślnym kontenerze Compu-ters.
Po utworzeniu i zlokalizowaniu konta komputera domeny, komputer ustanawia relacje zaufania z domeną,
zmienia swój identyfikator SID tak, aby był zgodny z tym kontem oraz dokonuje modyfikacji członkostwa
grup. Aby zakończyć proces, komputer musi zostać ponownie uruchomiony.
Informacje Do połączenia stacji roboczej lub serwera z domeną może być również używane polecenie
NETDOM JOIN. Jego funkcjonalność jest identyczna jak dla interfejsu użytkownika Computer Name
Changes, za wyjątkiem tego, że można także wyspecyfikować jednostkę organizacyjną, jeśli obiekt
komputera nie istnieje w usłudze Active Directory.
Porównanie kontenerów i jednostek organizacyjnych komputerów
Kontener Computers jest domyślną lokalizacją obiektów komputera w usłudze Active Directory. Po
aktualizacji domeny systemu Windows NT 4 do systemu Windows 2000, początkowo wszystkie komputery
znajdują się w tym kontenerze. Ponadto, jeśli komputer łączy się z domeną, w której nic istnieje konto dla
tego komputera, obiekt komputera zostanie automatycznie utworzony w kontenerze Computers.
Wskazówka Zestaw programów narzędziowych Microsoft Windows Sen/er 2003 Resource Kit
zawiera program REDIRC0MP umożliwiający przekierowanie automatycznie tworzonych obiektów
komputera do wskazanej jednostki organizacyjnej. Domena musi mieć poziom funkcjonalności systemu
Windows Server 2003, co oznacza, że wszystkie kontrolery domen muszą działać pod kontrolą systemu
Windows Server 2003. Narzędzie to jest przydatne w organizacjach, w których tworzenie konta komputera
jest mniej ściśle kontrolowane. Ponieważ obiekty komputera zostają automatycznie utworzone w jednostce
organizacyjnej, mogą być zarządzane przez zasady powiązane z tą jednostką 0U. Więcej informacji o
programie REDIRCOMP można znaleźć w zestawie Windows Server 2003 Resource Kit.
Chociaż kontener Computers jest kontenerem domyślnym dla obiektów komputera, nie jest idealnym
kontenerem dla takich obiektów. Inaczej niż dla jednostek organizacyjnych, kontenery takie jak Computers,
Users i Builtin nie mogą być powiązane do zasad, co ogranicza potencjalny zakres stosowania
Rozdział 5: Konta komputerów
153
zasady grupy dotyczącej komputerów. Zalecana praktyką projektowania usługi Active Directory jest
dołączanie co najmniej jednej jednostki organizacyjnej przeznaczonej dla komputerów. Często dla
komputerów przeznaczanych jest wiele jednostek organizacyjnych, które tworzone są w oparciu o regiony
administracyjne lub do oddzielenia administracji komputerów przenośnych, stacjonarnych, serwerów druku
i plików czy serwerów aplikacji. Przykładowo, w usłudze Activc Directory istnieje domyślna jednostka
organizacyjna dla kontrolerów domeny, która jest powiązana z zasadą Default Domain Controller Policy
(Domyślna zasada kontrolera domeny). Dzięki utworzeniu jednej lub kilku jednostek organizacyjnych dla
komputerów, organizacja może poprzez zasady grupy bardziej elastycznie przekazywać administrację i
zarządzanie konfiguracją komputerów.
Jeśli w organizacji utworzono dla komputerów jedną lub kilka jednostek organizacyjnych, należy każdy
automatycznie utworzony obiekt komputera (w kontenerze Computers) przesunąć do odpowiedniej
jednostki OU. W tym celu należy zaznaczyć komputer i z menu Action (Akcja) wybrać polecenie Move
(Przenieś). Innym sposobem przeniesienia obiektu jest skorzystanie z nowej funkcji konsoli MMC —
„przeciągnij i upuść .
Wskazówka Ponieważ obiekt komputera w jednostce organizacyjnej Computers nie jest zarządzany
przez zasady grupy powiązane ze specjalnie utworzonymi dla komputerów jednostkami organizacyj-
nymi przedsiębiorstwa oraz ponieważ przeniesienie obiektu komputera z jednostki organizacyjnej
Computers do innej jednostki OU wymaga dodatkowych czynności, to zalecaną metodą jest utworze-
n/e obiektów komputera zanim komputer zostanie przyłączony do domeny. Obiekt komputera można
najpierw utworzyć we właściwej jednostce organizacyjnej, i dzięki temu, jeśli system komputerowy
przytacza się do domeny, stosują się do niego zasady powiązane z tą jednostką organizacyjną.
Obiekt komputera lub każdy inny obiekt można również, przenieść przy użyciu polecenia DSMOVE.
Składnia polecenia DSMOVE jest następująca:
dsmove ObjectDN [-newname NewName'] [-newparent ParentDN]
Parametr -newname umożliwia zmianę nazwy obiektu. Parametr -newparent pozwala przesunąć obiekt. W
celu przeniesienia komputera nazwanego DesktopABC z kontenera Computers do jednostki organizacyjnej
Desktops, należy wprowadzić następujące polecenie:
dsmove ?CN=DesktopABC,CN=Computers.DC=Contoso,DC=com? -newparent
?OU=Desktops.DC=Contoso,DC=com?
Polecenie to ponownie pokazuje różnicę między kontenerem (CN) Computers a. jednostką organizacyjną
(OU) Desktops.
Aby w usłudze Active Directory przenosić obiekty, należy mieć odpowiednie uprawnienia. Uprawnienia
domyślne grupy Account Operators (Operatorzy kont) pozwalają przenosić obiekty komputerów między
kontenerami i jednostkami organizacyjnymi, wliczając w to kontener Computers, za wyjątkiem jednostki
organizacyjnej Domain Controllers (Kontrolery domeny). Administratorzy, w tym Domain Admins
(Administratorzy domeny) oraz Enterprise Admins (Administratorzy przedsiębiorstwa), mogą przenosić
obiekty pomiędzy dowolnymi kontenerami i jednostkami organizacyjnymi, w tym także między kontenerem
Computers i jednostką organizacyjną Domain Controllers (Kontrolery domeny).
15<t
MCSE Training Kit: Egzamin 70-290
Zadanie kontrolne: Dołączenie komputera do domeny usługi
Active Directory
W zadaniu tym, Za pomocą przystawki Active Directory Users and Computets (Użytkownicy i komputery
usługi Active Directory) oraz polecenia DSADD, utworzone zostaną konta komputerów. Następnie
komputery będą przyłączane do domeny, pod warunkiem posiadania dostępu do innego systemu.
Ćwiczenie 1: Tworzenie kont komputerów za pomocą przystawki Active Directory
Users and Computers (Użytkownicy i komputery usługi Active Directory)
1. Otwórz przystawkę Active Directory Users And Computers.
2. W jednostce organizacyjnej Servers utwórz obiekt komputera dla komputera nazwanego „SERVER02."
Skonfiguruj jedynie nazwę komputera. Nie zmieniaj pozostałych właściwości domyślnych.
Warto zauważyć, że podobnie jak dla użytkowników, komputer ma dwie nazwy - nazwę komputera i
nazwę komputera dla systemów wcześniejszych niż system Windows 2000". Zalecaną praktyką jest,
aby obie nazwy były takie same.
Ćwiczenie 2: Tworzenie kont komputerów za pomocą polecenia DSADD
1. Otwórz okno wiersza poleceń.
2. Wpisz polecenie:
dsadd computer ?cn=desktop03,ou=servers,dc=contoso,dc=com?
Ćwiczenie 3: Przesuwanie obiektu komputera
1. Otwórz przystawkę Active Directory Users And Computers.
2. Za pomocą polecenia Move (Przenieś), przesuń obiekt komputera Desktop03 z jednostki organiza-
cyjnej Servers do jednostki Desktops.
3. Przeciągnij obiekt Server02 '/. kontenera Servers do kontenera Computers.
4. Zaznacz kontener Computers, aby upewnić się, że obiekt Server02 znalazł się na właściwym miejscu.
Podczas stosowania metody „przeciągnij i upuść" łatwo o popełnienie błędu.
Nieoficjalnie Konsola MMC jest stałym źródłem .umiarkowanych" ataków paniki. Okna konsoli nie są
automatycznie odświeżane. Po przeprowadzeniu zmian, takich jak przesunięcie obiektu, należy użyć
polecenia Refresh (Odśwież) lub klawisza skrótu (F5), aby odświeżyć konsolę.
5. Otwórz okno właściwości kontenera Computers. W oknie tym nie występuje zakładka Group Policy
(zasada grupy), inaczej niż dla właściwości jednostek organizacyjnych, takich jak Servcrs. I to jest
jednym z powodów, dla których w przedsiębiorstwach dla komputerów tworzone są dodatkowe
jednostki organizacyjne.
6. Otwórz okno wiersza poleceń.
7. Wpisz polecenie:
dsmove ?CN=Server02,CN=Computers,DC=contoso,DC=com? -newparent ?OU=Servers,
DC=contoso,DC=com?
Rozdział 5: Konta komputerów
155
Polecenie to z powrotem przesuwa obiekt komputera do jednostki organizacyjnej Servers. 8.
Sprawdź, czy komputer znalazł się z powrotem w jednostce organizacyjnej Servers.
Ćwiczenie 4 (Opcjonalne): Przyłączenie komputera do domeny
Ćwiczenie to wymaga dodatkowego systemu połączonego w sieci z serwerem Server01. Oprócz tego,
system DNS musi być prawidłowo skonfigurowany tak, aby utworzone zostały rekordy usługi (SRV)
serwera Server01. Konfiguracja DNS dodatkowego komputera musi umożliwiać lokalizację serwera
Server01, jako kontrolera domeny contoso.com.
1. Jeśli dysponujesz dodatkowym systemem umożliwiającym przyłączenie do domeny, urwórz za pomocą
przystawki Active Directory Users And Computers lub polecenia DSADD, konto dla systemu
dodatkowego. Upewnij się, że użyta nazwa jest identyczna z nazwą komputera.
2. Zaloguj się do komputera. Należy zalogować się za pomocą konta, które należy do grupy lokalnych
administratorów, aby możliwa była zmiana członkostwa w domenie.
3. Znajdź zakładkę Computer Name (Nazwa komputera) otwierając moduł System w programie Control
Panel (Panel sterowania) lub polecenie Network Identification (Identyfikacja sieciowa) znajdujące się
w menu Advanced (Zaawansowane) w katalogu Network Connections (Połączenia
sieciowe).
4. Kliknij
przycisk
Change (Zmień).
5- Kliknij opcje Domain (Domena) i wpisz nazwę domeny DNS - contoso.com.
6. Kliknij przycisk OK.
7. Wpisz poświadczenia tożsamości dla konta Administrator w domenie contoso.com.
8. Kliknij przycisk OK.
9. Komputer poinformuje, że niezbędne będzie ponowne uruchomienie systemu. Kliknij przycisk OK dla
każdego pojawiającego się komunikatu i zamknij wszystkie okna dialogowe. Ponownie uruchom system.
Pytania
Przedstawione poniżej pytania mają za zadanie ugruntować podstawowe informacje prezentowane podczas
lekcji. Jeśli czytelnik nie potrafi udzielić odpowiedzi, powinien ponownie przejrzeć materiał lekcji i
powrócić jeszcze raz do pytań. Odpowiedzi na te pytania można znaleźć w sekcji „Pytania i odpowiedzi",
znajdującej się pod koniec tego rozdziału.
1. Jaką minimalną tożsamość musi użytkownik poświadczyć, aby mógł utworzyć konto komputera systemu
Windows Servcr 2003 w jednostce organizacyjnej domeny? Należy rozważyć wszystkie kroki procesu
przy założeniu, że konto tego komputera nie było wcześniej utworzone w usłudze w Active Directory.
a. Domain Admins (Administratorzy domen)
b. Enterprise Admins (Administratorzy przedsiębiorstwa)
c. Administrators on a domain controller (Administratorzy na kontrolerze domeny)
d. Account Operators on a domain controller (Operatorzy kont na kontrolerze domeny)
e. Server Operators on a domain controller (Operatorzy serwerów na kontrolerze domeny)
156
MCSE Training Kit: Egzamin 70-290
f. Account Opcrators on thc server (Operatorzy kont na tym serwerze)
g. Scrver Operators on the server (Operatorzy serwera, na danym serwerze)
h. Administrators on the server (Administratorzy na tym serwerze)
2. W którym miejscu można zmienić członkostwo domeny komputera systemu Windows Sera 2003?
a. Właściwości modułu My Computer (Mój komputer)
b. Moduł System w programie Control Panel (Panel sterowania)
c. Przystawka Active Directory Users and Computers (Użytownicy i komputery usługi Active
Directory)
d. Folder Network Connections (Połączenia sieciowe)
e. Moduł Users (Użytkownicy) w programie Control Panel (Panel sterowania)
3- Za pomocą którego programu narzędziowego wiersza poleceń można utworzyć w usłudze Actiw
Directory konto komputera domeny?
a. NETDOM
b. DSADD
c. DSGET
d. NETSH
e. NSLOOKUP
Podsumowanie lekcji
• Ustawienia domyślne określają, że członkowie grup Administratorzy oraz Account Opcrators (Ope-
ratorzy kont) mają uprawnienia do tworzenia obiektów komputera w usłudze Active Directory.
• Przystawka Active Directory Users And Computers (Użytkownicy i komputery usługi Active
Directory) oraz programy DSADD i NETDOM mogą być używane do tworzenia kont komputerów.
• Aby dla komputera zmienić członkostwo domeny, należy zalogować jako członek grupy Administra-
torzy lokalni.
Rozdział 5: Konta komputerów
157
Lekcja 2: Zarządzanie kontami komputerów
W poprzedniej lekcji omówione zostały podstawowe elementy relacji komputer - domena, czyli konto
komputera i połączenie komputera do domeny. Teraz opisany zostanie bardziej szczegółowo obiekt
komputera w usłudze Active Directory, jego pozostałe właściwości, uprawnienia będące motorem jego
działania oraz sposoby zarządzania tymi właściwościami przeprowadzane za pomocą interfejsu GUI bądź
narzędzi wiersza poleceń.
Materiały omówione podczas lekcji pozwalają na
• Konfigurowanie uprawnień nowego obiektu komputera usługi Active Directory
• Konfigurowanie właściwości obiektu komputera usługi Active Directory
• Wyszukiwanie i zarządzanie kontami komputerów za pomocą przystawki Active
Directory Users And Computers (Użytkownicy i komputery usługi Active Directory)
Szacunkowy czas lekcji: 10 minut
Zarządzanie uprawnieniami obiektu komputera
Jak nadmieniono w lekcji 1, komputer może być przyłączony do domeny, jeśli w trakcie tego procesu
użytkownik poświadczy tożsamość o uprawnieniach administratora domeny. Jednakże kwestie bezpie-
czeństwa wymagają, aby do realizacji danego zadania wykorzystywane były tylko te uprawnienia, które są
niezbędne. Wymóg posiadania uprawnień konta administratora domeny dla dodania komputera do domeny
wydaje się być przesadą.
Na szczęście, usługa Active Directory umożliwia dokładne sterowanie grupami lub użytkownikami, którzy
mogą połączyć się do konta komputera domeny. Pomimo, ze domyślne ustawienia wymagają uprawnień
administratorów domeny, można pozwolić, by dowolna grupa (na przykład nazwana Instalatorzy) mogła
dołączać komputer do konta. Jest to duże ułatwienie w procesie tworzenia obiektu komputera.
Podczas tworzenia obiektu komputera, na pierwszej stronie okna dialogowego New Object-Computer
(Nowy obiekt — Komputer), pokazanej poprzednio na rysunku 5-1, znajduje się ramka opisana: The
Following User Or Group Can Join This Computer To A Domain (Poniższy użytkownik lub grupa mogą
dołączać ten komputer do domeny). Należy kliknąć przycisk Change (Zmień) i wskazać grupę lub
użytkownika. Zmiana ta modyfikuje szereg uprawnień komputera usługi Active Directory.
Na następnej stronie okna dialogowego New Objcct—Computer (Nowy obiekt — Komputer) dla kom-
putera należy określić globalny unikatowy identyfikator (GUID), który jest potrzebny podczas instalacji
przeprowadzanej z pomocą usług instalacji zdalnej R1S (Remote Installation Services). Dodatkowe
informacje o usłudze RIS można znaleźć w dziale firmy Microsoft - Knowledge Base pod adresem
http://support. microsoft. coml.
Jeśli komputer, który korzysta z utworzonego konta, działa pod kontrolą sytemu Windows wersji
wcześniejszej niż 2000, należy zaznaczyć pole wyboru Assign This Computer Account As A Pre-Windows
2000 Computer (Przypisz to konto komputera jako komputer z systemem starszym,
158
MCSE Training Kit: Egzamin 70-290
niż Windows 2000). Jeśli konto jest przeznaczone dla zapasowego kontrolera domeny systemu Windows
NT, należy zaznaczyć pole wyboru Assign This Computer Account As A Backup Domaio Controller
(Przypisz to konto jako zapasowy kontroler domeny).
a
Wskazówka Warto zapamiętać, że jedynie komputery bazujące na technologii systemu Windows
NT mogą należeć do domeny, natomiast systemy Windows 95, Windows 98 oraz Windows Millen-
nium Edition (Windows Me) nie mogą dołączać lub utrzymywać kont komputerów. Dlatego omawiane
poprzednio pole wyboru odnosi się tak naprawdę do systemu Windows NT 4.
Konfigurowanie właściwości komputera
Obiekty komputera mają szereg właściwości, które nie są podczas tworzenia konta komputera uwidacz-
niane w interfejsie użytkownika. Aby określić lokalizację obiektu i opis, skonfigurować członkostwo
grupy, uprawnienia połączeń telefonicznych czy powiązać z obiektem użytkownika, który ma zarządzać
komputerem, należy dla obiektu komputera otworzyć okno dialogowe Properties (Właściwości) Stronę
właściwości systemu operacyjnego (Operating System) można tylko odczytywać. Informacje są
automatycznie publikowane w usłudze Active Directory, a odpowiednie rekordy są puste, dopóki
komputer nie połączy się z domeną przy użyciu tego konta.
Kilka klas obiektu usługi Active Directory obsługuje właściwości zarządcy komputera, które zosuly
zebrane na stronie właściwości komputera — Managed By (Zarządzany przez). Te powiązane wlaści-
wości tworzą odniesienia do obiektu użytkownika. Wszystkie inne właściwości, takie jak adresy czy
numery telefonów, są wyświetlane bezpośrednio w obiekcie użytkownika i nie są przechowywane jako
część obiektu komputera.
Tak jak było nadmienione w rozdziale 2, za pomocą polecenia DSMOD można modyfikować szereg
właściwości obiektu komputera. Działanie polecenia DSMOD będzie omówione w kolejnej sekcji w
odniesieniu do zagadnień rozwiązywania problemów obiektu komputera.
Wyszukiwanie i dołączanie do obiektów usługi Active Directory
Jeśli użytkownik dzwoni do działu wsparcia technicznego, administrator chciałby wiedzieć, jaki system
operacyjny oraz jakie pakiety serwisowe zostały zainstalowane na komputerze użytkownika. Informacje te
są przechowywane jako właściwości obiektu komputera. Problemem staje się wyszukanie tego obiektu
komputera, w szczególności jeśli mamy do czynienia ze złożoną usługą Active Directory, w której
znajduje się kilka domen i wiele jednostek organizacyjnych.
Przystawka Active Directory Users and Computers (Użytkownicy i komputery usługi Active Directory)
została wyposażona w sprawne i proste narzędzie umożliwiające wyszukiwanie różnego typu obiektów. W
tym rozdziale pokazane będą sposoby wyszukiwania obiektów komputera. W tym celu, na pasku narzędzi
konsoli, należy kliknąć przycisk Find Objects In Active Directory (Znajdź obiekty w usłudze Active
Directory). Okno dialogowe Find Computers (Znajdowanie: Komputery) pokazane zostało na rysunku 5-4.
Pr/.ed uruchomieniem wyszukiwania, czyli przed naciśnięciem przycisku Find Now (Znajdź teraz), można
określić typ wyszukiwanego obiektu (Znajdź:), zakres wyszukiwania (W:) oraz można określić kryteria
wyszukiwania.
Rozdział 5: Konta komputerów
159
Rysunek 5-4. Okno dialogowe Find Computers (Znajdowanie: Komputer), pokazane po wyszukaniu
obiektu
Na liście wyszukanych obiektów można zaznaczyć komputer i z menu File (Plik) lub z menu skrótów
wybrać zadanie do wykonania. Wielu administratorów docenia możliwość wykorzystywania polecenia
Manage (Zarządzaj) pozwalającego bezpośrednio otworzyć konsolę Computer Management (Zarządzanie
komputerem) i połączyć się z wybranym komputerem, dzięki czemu można przeanalizować jego dzienniki
zdarzeń, program zarządzający urządzeniami, informacje o systemie, konfigurację dysku i usług, a także
informacje o użytkownikach lokalnych czy kontach grup.
Zadanie kontrolne: Zarządzanie kontami komputerów
W zadaniu tym wyszukiwany będzie obiekt komputera oraz modyfikowane będą jego właściwości.
Ćwiczenie 1: Zarządzanie kontami komputerów
1. Otwórz przystawkę Active Directory Users And Computers.
2. Zaznacz jednostkę organizacyjną Security Groups i utwórz globalną grupę zabezpieczeń nazwaną
Deployment.
3. Zaznacz jednostkę organizacyjną Desktops.
4. Utwórz konto komputera — Desktop04. Na pierwszej stronie okna dialogowego New Object- Computer
(Nowy obiekt — Komputer) kliknij przycisk Change (Zmień) znajdujący się poniżej opcji The
Following User Or Group Can Join This Computer To A Domain (Poniższy użytkownik lub grupa mogą
dołączać ten komputer do domeny). W polu Select User or Group (Użytkownik lub grupa) wpisz
deployment, a następnie kliknij przycisk OK.
5. Zakończ tworzenie obiektu komputera Desktop04.
160
MCSE Training Kit: Egzamin 70-290
Ćwiczenie 2: Wyszukiwanie obiektów usługi Active Directory
1. Otwórz przystawkę Active Directory Users And Computers.
2. Na pasku narzędzi kliknij ikonę Find Objects in Active Directory (Znajdź obiekty w usłudze Active
Directory).
3. Domyślnie, okno dialogowe jest przygotowane do wyszukiwania użytkowników, kontaktów i grup. Z
menu rozwijanego wybierz opcję Computers (Komputery), a na liście zakresu wyszukiwania (W:),
zaznacz opcję Entire Directory (Cały obiekt: Katalog).
4. W polu Computer Name (Nazwa komputera) wpisz server, a następnie kliknij przycisk Find Now
(Znajdź teraz).
Na liście wyników wyświetlony zostanie obiekt: Server01.
Ćwiczenie 3: Zmiana właściwości komputera
1. Na liście wyników wyszukiwania uzyskanej w ćwiczeniu 1, otwórz okno dialogowe właściwości
obiektu Servcr01.
2. Kliknij zakładkę Location (Lokalizacja).
3. Wpisz Headquarters Server Room.
4. Kliknij zakładkę Managed By (Zarządzany przez), a następnie kliknij przycisk Change (Zmień).
5. Wpisz Hank, a następnie kliknij przycisk OK.
6. Warto zwrócić uwagę, że wyświetlona została nazwa użytkownika oraz informacje kontaktowe.
7- Kliknij zakładkę Operating System (System operacyjny). Zanotuj wersję systemu oraz poziom pakietu
serwisowego.
8. (Opcjonalne) Jeśli dysponujesz przyłączonym do domeny dodatkowym komputerem (lekcja 1, ćwiczenie
4), otwórz okno właściwości tego obiektu komputera oraz zanotuj cechy systemu operacyjnego.
Pytania
Przedstawione poniżej pytania mają za zadanie ugruntować podstawowe informacje prezenrowane podczas
lekcji. Jeśli czytelnik nic potrafi udzielić odpowiedzi, powinien ponownie przejrzeć materia! lekcji i
powrócić jeszcze raz do pytań. Odpowiedzi na te pytania można znaleźć w sekcji „Pytania i odpowiedzi",
znajdującej się pod koniec tego rozdziału.
1. Która platforma umożliwia przyłączenie do domeny?
a. Windows
95
b. Windows NT 4
c. Windows
98
d. Windows
2000
e. Windows
Me
f. Windows
XP
g. Windows Server 2003
Rozdział 5: Konta komputerów
161
2. Po otwarciu obiektu komputera, na zakładce Operating System (System operacyjny) nie są wyświetlane
żadne właściwości. Co może być tego przyczyną?
3. Dyrektor ma komputer przenośny nazwany „TopDog", działający pod kontrolą systemu Windows XP.
Należy umożliwić dołączenie tego komputera do domeny oraz zapewnić, że konfiguracja tego komputera
będzie bezpośrednio określana przez zasady grupy powiązane z jednostką organizacyjną Desktops. W
jaki sposób można zrealizować takie zadanie?
4. Dlaczego zalecaną praktyką jest utworzenie obiektu komputera przed przyłączeniem komputera do
domeny?
Podsumowanie lekcji
• Dowolny użytkownik lub grupa mogą dołączać komputer do konta domeny. Jest to określane przy
użyciu opcji: The Following User Or Group Can Join This Computer To A Domain (Poniższy użyt-
kownik lub grupa może przyłączyć ten komputer do domeny).
• Przycisk The Find Objects In Active Directory (Znajdź obiekty w usłudze Active Directory), znajdujący
się na pasku narzędzi przystawki Active Directory Users And Computcrs (Użytkownicy i komputery
usługi Active Directory) umożliwia wyszukiwanie, a następnie zarządzanie komputerami i innym
obiektami usługi Active Directory.
162
MCSE Training Kit: Egzamin 70-290
Lekcja 3: Rozwiązywanie problemów związanych z
kontami komputerów
Domeny usługi Active Directory traktują komputery jako podmioty zabezpieczeń. Oznacza to, że
komputer, tak jak użytkownik, ma konto lub bardziej dokładnie, obiekt komputera ma właściwości takie
jak nazwa, hasło oraz identyfikator SID. Podobnie jak konta użytkowników, konta komputerów wymagają
obsługi, a czasami rozwiązania problemów. Niniejsza lekcja omawia właśnie umiejętności i pojęcia
dotyczące rozwiązywania problemów związanych z obiektami komputerów.
Materiały omówione podczas lekcji pozwalają na
• Omówienie
istotnych
różnic dotyczących usuwania, wyłączania bądź zerowania kont
komputerów
• Rozpoznawanie symptomów występowania problemów konta komputera
• Rozwiązywanie problemów kont komputerów poprzez usuwanie, wyłączanie, zerowanie lub
odłączanie kont przy użyciu programów narzędziowych wiersza poleceń i narzędzi
interfejsu użytkownika
Szacunkowy czas lekcji: 20 minut
Usuwanie, wyłączanie bądź zerowanie kont komputerów
Konta komputerowe, podobnie jak konta użytkowników, obsługują unikatowy identyfikator SID, który
umożliwia administratorowi przydzielanie uprawnień do komputerów. Również podobnie jak dla kont
użytkownika, konta komputerów należą do grup. Dlatego, również tak jak dla kont użytkownika, ważnym
zagadnieniem jest zrozumienie rezultatów usunięcia konta komputera. Po usuniędu konta komputera,
usunięte zostają jego członkostwa w grupach oraz identyfikator SID. Jeśli konto zostało usunięte
przypadkowo, pomimo tego, że nowo utworzone konto ma taką samą nazwę, będzie miało nowy
identyfikator SID. Dla nowego konta, członkostwa grup oraz wszystkie uprawnienia muszą być ponownie
określane. Dlatego przed usunięciem konta komputera należy upewnić się, że nie będą już dłużej potrzebne
atrybuty zabezpieczeń tego obiektu.
Aby usunąć konto komputera za pomocą przystawki Active Directory Users And Computers (Użyt-
kownicy i komputery usługi Activc Directory), należy zlokalizować i zaznaczyć obiekt komputera, a
następnie z menu Action (Akcja) lub z menu skrótów wybrać polecenie Deletc (Usuń). System poprosi o
potwierdzenie czynności usuwania, ponieważ usunięcie jest operacją nieodwracalną (domyślna odpowiedź
określona jest jako Nie). Po naciśnięciu przycisku Tak, obiekt zostanie usunięty.
Program wiersza poleceń DSRM omawiany w rozdziale 3, również umożliwia usuwanie obiektu kom-
putera. W tym celu należy wpisać następujące polecenie DSRM:
DSRM ObjectDN
Gdzie ObjectDN jest nazwą wyróżniającą komputera, jak na przykład „CN=Dcsktopl5, OU=Dcsktop
s,DC=contoso,DC=com". Również i w tym programie użytkownik będzie poproszony o potwierdzenie
wykonania operacji.
Rozdział 5: Konta komputerów
163
Wskazówka Jeśli komputer jest odłączony od domeny (podczas przeprowadzanej przez administra-
tora zmiany członkostwa komputera w grupie lub innej domenie), komputer próbuje usunąć swoje
konto w domenie. Jeśli nie było to możliwe, ze względu na brak połączenia bądź problemy związane
z siecią lub uprawnieniami, konto pozostanie w usłudze Active Directory. Konto może sprawiać wraże-
nie konta wyłączonego. Jeśli nie jest ono już potrzebne, powinno być usunięte ręcznie.
Jeśli przez dłuższy okres komputer nie będzie używany lub będzie odłączony od sieci, można wyłączyć jego
konto. Takie działania odzwierciedlają zasadę bezpieczeństwa, nakazującą przechowywanie jedynie
minimalnej liczby „tożsamości" wymaganej dla procesów uwierzytelnienia w danej organizacji. Wyłączenie
konta nie modyfikuje identyfikatora SID lub członkostwa grupy, tak więc, jeśli zajdzie potrzeba ponownego
użycia tego komputera, wystarczy włączyć jego konto.
Dla danego obiektu komputera, w menu kontekstowym lub w menu Action (Akcja) umieszczone jest
polecenie Disable Account (Wyłącz konto). Konto wyłączone oznaczone jest w przystawce Activc
Directory Users And Computers (Użytkownicy i komputery usługi Active Directory) czerwonym krzy-
żykiem (X), tak jak pokazane to zostało na rysunku 5-5.
Rysunek 5-5. Wyłączone konto komputera
Jeśli konto jest wyłączone, komputer nie może utworzyć pomiędzy domeną bezpiecznego kanału. Z tego
powodu, użytkownicy, którzy nie logowali się poprzednio do tego komputera i tym samym nie mają na
komputerze zapisanych poświadczeń tożsamości, nie będą mogli zalogować się, o ile, poptzez włączenie
konta nie zostanie ponownie ustanowiony kanał bezpieczeństwa.
Aby włączyć konto komputera wystarczy po prostu zaznaczyć komputer i z menu Action (Akcja) lub menu
skrótów wybrać polecenie Enable Account (Włącz konto).
Do załączania lub wyłączania konta komputera w wierszu poleceń służy program DSMOD. Polecenie
DSMOD modyfikuje obiekty usługi Active Directory. Składnia używana do wyłączenia lub załączenia
konta komputera jest następująca:
DSMOD COMPUTER ComputerDN -DISABLED YES
DSMOD COMPUTER ComputerDN -DISABLED NO
Jeśli członkostwa grupy konta oraz identyfikator SID, a także uprawnienia przydzielone do tego
identyfikatora są istotne dla operacji domeny, nie należy usuwać takiego konta. Nasuwa się więc pytanie, co
należy zrobić, jeśli komputer został zastąpiony przez nowy system, poprzez wymianę starych
164
MCSE Training Kit: Egzamin 70-290
urządzeń sprzętu. W takim przypadku należy przeprowadzić operację nazwaną zerowanie (resetowanie)
konta komputera.
Zerowanie konta komputera usuwa hasło, ale pozostawia wszystkie właściwości obiektu komputera. W
rezultacie takiej operacji konto staje się „dostępne". W tym momencie, dowolny komputer (w tym
aktualizowany system) za pomocą tego konta może przyłączyć się do domeny.
W rzeczywistości, komputer, który był poprzednio połączony z domeną za pomocą tego konta, może
używać wyzerowanego konta łącząc się po prostu ponownie z domeną. Zagadnienia te będą omawiane
bardziej szczegółowo w lekcji dotyczącej rozwiązywania problemów.
Polecenie Reset Account (Resctuj konto) jest dostępne po zaznaczeniu obiektu komputera w menu Action
(Akcja) oraz w menu kontekstowym. Do zerowania konta komputera można również używać polecenia
DSMOD. Składnia polecenia jest następująca:
dsmod computer ComputerDN -reset
Polecenie NETDOM, dołączone w zestawie narzędziowym Windows Server 2003 Support Tools, również
umożliwia zerowanie konta komputera. Program ten znajduje się w katalogu SupportATools na dysku CD-
ROM systemu Windows Server 2003-
Rozpoznawanie problemów związanych z kontami komputerów
Relacje zabezpieczeń pomiędzy domeną a kontami komputerów są silne. W rzadko spotykanych sytu-
acjach, kiedy konto lub kanał bezpieczeństwa nie działa, symptomy uszkodzenia są ogólnie mówiąc
oczywiste. Częste problemy związane z kontem komputera to:
Komunikaty podczas logowania wskazują na brak kontaktu z kontrolerem domeny, na brak konta lub brak
relacji zaufania pomiędzy komputerem a domeną. Przykład takiego komunikatu przedstawiony został na
rysunku 5-6.
Rysunek 5-6. Komunikat podczas logowania w systemie Windows XP, wskazujący na możliwość
wystąpienia problemów konta komputera
• Komunikary błędów lub zdarzeń zapisane w dzienniku zdarzeń wskazują na występowanie podobnych
problemów lub sugerują nieprawidłowe hasła, zaufania, kanały bezpieczeństwa czy relacje pomiędzy
domeną lub kontrolerem domeny.
• Brak konta komputera w usłudze Active Directory.
Jeśli ma miejsce jedna z opisanych sytuacji, należy rozwiązać problem. W poprzedniej części rozdziału
omówione zostały sposoby usuwania, wyłączania i zerowania kont komputerów oraz sposoby dołączania
komputera do domeny.
Rozdział 5: Konta komputerów
165
Wymienione poniżej reguły są stosowane podczas rozwiązywania problemów związanych z kontami
komputerów:
A. Jeśli konto istnieje w usłudze Active Directory, musi zostać wyzerowane.
B. Jeśli w usłudze Active Directory brak konta komputera, należy konto takie utworzyć.
C. Jeśli komputer wciąż należy do domeny, musi zostać z niej usunięty poprzez zamianę
członkostwa z domeny do grupy roboczej. Nazwa grupy roboczej jest bez znaczenia. Zaleca się,
aby wybrać nazwę nieużywanej grupy roboczej.
D. Ponowne przyłączenie komputera do domeny. Alternatywnym rozwiązaniem jest przyłączenie
innego komputera do domeny, ale komputer ten musi mieć taką samą nazwę jak konto
komputera.
Podczas rozwiązywania dowolnego problemu związanego z kontem komputera należy stosować wszystkie
cztery reguły. Reguły mogą być używane w dowolnej kolejności za wyjątkiem reguły D, ponowne
połączenie komputera do domeny musi być zawsze wykonywane na końcu procedury. Poniżej przeana-
lizowane zostaną dwa przykłady praktyczne.
W pierwszym przykładzie użytkownik powiadomił administratora, że podczas logowania system wyświetla
komunikat informujący o prawdopodobnym braku konta komputera. Stosując regułę A, należy otworzyć
przystawkę Active Directory Users And Computers (Użytkownicy i komputery usługi Activc Directory) i
sprawdzić, czy takie konto komputera istnieje. Następnie konto należy wyzerować. Reguła B nie ma
zastosowania — konto istnieje. Następnie, stosując regułę C, należy odłączyć system od domeny, a później
zgodnie z regułą D ponownie go przyłączyć.
W drugim zadaniu praktycznym, jeśli konto komputera zostało przypadkowo wyzerowane, zostanie
zastosowana reguła A. Pomimo, że wyzerowanie konta jest przypadkowe, do jego odtworzenia trzeba
zastosować wszystkie trzy pozostałe reguły. Reguła B nic ma zastosowania, ponieważ konto istnieje w
domenie. Reguła C wskazuje, że komputer jest wciąż połączony z domeną i musi być z niej usunięty.
Następnie, stosując regułę D, można ponownie przyłączyć komputer do domeny.
Stosując te cztery reguły w pracy bądź podczas egzaminu, można podjąć właściwe decyzje, co do sposobu
rozwiązywania dowolnego problemu, w którym konto komputera przestało działać.
Zadanie kontrolne: Rozwiązywanie problemów związanych z kontami
komputera
W zadaniu tym będzie rozwiązywany problem oparty na rzeczywistym zdarzeniu. Użytkownik domeny
contoso.com powiadomił administratora, że podczas logowania do komputera Desktop03 wyświetlony
zostaje następujący komunikat:
„System Windows nie może połączyć się do domeny, ponieważ kontroler domeny jest niedostępny bądź
wyłączony lub konto komputera nic zostało znalezione. Proszę później ponowić próbę logowania. Jeśli w
dalszym ciągu wyświetlany będzie ten sam komunikat, należy skontaktować się z administratorem
systemu".
Po odczekaniu kilku minut użytkownik wykonał jeszcze dwie próby i za każdym razem wyświetlany był
taki sam komunikat. Użytkownik, próbując sic zalogować, stracił 20 minut, po czym zniechęcony
skontaktował się z administratorem systemu.
166
MCSE Training Kit: Egzamin 70-290
Ćwiczenie 1: Rozwiązywanie problemów związanych z kontami komputera
1. Rozpoznawanie najbardziej prawdopodobnych przyczyn problemu:
a. Użytkownik wprowadził nieprawidłową nazwę użytkownika.
b. Użytkownik wprowadził nieprawidłowe hasło.
c. Na
liście okna logowania (Log On To), użytkownik wybrał nieprawidłową domenę.
d. Brak
kanału bezpieczeństwa pomiędzy komputerem a domeną,
c. Uszkodzony został rejestr komputera.
f. Zasada komputera zabrania logowania interakcyjnego.
W kontekście opisanego przykładu, najbardziej prawdopodobna przyczyna opisana została w punkcie
d — brak kanału bezpieczeństwa pomiędzy komputerem a domeną.
2. Rozpoznawanie etapów procesu rozwiązywania problemu na podstawie listy przedstawionej poni
żej. Należy określić prawidłową kolejność etapów. Nie wszystkie etapy są wymagane.
a. Włączenie konta komputera.
b. Skonfigurowanie komputera Dcsktop03 tak, aby należał do domeny contoso.com.
c. Sprawdzenie, czy konto komputera istnieje w usłudze Active Directory.
d. Zerowanie lub ponowne utworzenie konta komputera.
e. Skonfigurowanie komputera Desktop03 tak, aby należał do grupy roboczej.
f. Usunięcie konta komputera.
g. Wyłączenie konta komputera.
Prawidłowa odpowiedź to kroki e, c, d oraz b. Krok e nie musi być wykonany jako pierwszy, wystar-
czy, że będzie wykonany przed krokiem b. Kolejność kroków c oraz d musi być zachowana i muszą
być wykonane przed krokiem b, który jest krokiem ostatnim.
Ćwiczenie 2: Odtwarzanie konta komputera po wystąpieniu problemów
1. Otwórz przystawkę Active Directory Users And Computcrs (Użytkownicy i komputery usługi Active
Directory).
2. Kliknij ikonę Find Objects In Activc Directory (Znajdź obiekty w usłudze Active Directory) i
wyszukaj komputer Desktop03.
3. Komputer Deskrop03 pojawi się na liście wyników wyszukiwania, ponieważ był utworzony podcas
lekcji 1.
4. Po sprawdzeniu, że konto istnieje, wyzeruj je klikając prawym przyciskiem myszy obiekt komputera
Desktop03, a następnie wybierając polecenie Reset Account (Rcsetuj konto).
Rozdział 5: Konta komputerów
167
Pytania
Przedstawione poniżej pytania mają za zadanie ugruntować podstawowe informacje prezentowane podczas
lekcji. Jeśli czytelnik nie potrafi udzielić odpowiedzi, powinien ponownie przejrzeć materiał lekcji i
powrócić jeszcze raz do pytań. Odpowiedzi na te pytania można znaleźć w sekcji „Pytania i odpowiedzi",
znajdującej się pod koniec tego rozdziału.
1. Po okresie rozwoju przedsiębiorstwo utworzyło drugą domenę. W zeszłym tygodniu kilka kom
puterów zostało przeniesionych ze starej do nowej domeny. Po uruchomieniu przystawki Active
Directoiy Users And Computers (Użytkownicy i komputery usługi Activc Directory), obiekty tych
komputerów w dalszym ciągu znajdowały się w starej domenie, a ich ikony oznaczone były czerwo
nym krzyżykiem „X". Który kierunek działań będzie najbardziej odpowiedni?
a. Włączenie kont
b. Wyłączenie kont
c. Zerowanie
kont
d. Usunięcie kont
2. Użytkownik powiadomił, że podczas logowania na monitorze pojawił się komunikat informujący,
że komputer nie mógł połączyć się z domeną z powodu wyłączenia kontrolera domeny lub braku
konta komputera. Wyszukiwanie konta w przystawce Active Directory Users And Computers
(Użytkownicy i komputery usługi Active Directory) pozwoliło ustalić,
K
rzeczywiście takie konto
nie istnieje. Jakie kroki należy podjąć?
3. Użytkownik powiadomił, że podczas logowania na monitorze pojawił się komunikat informujący, że
komputer nie mógł połączyć sic z domeną z powodu wyłączenia kontrolera domeny lub braku konta
komputera. Wyszukiwanie konta w przystawce Active Directory Users And Computers (Użytkownicy i
komputery usługi Active Directory) pozwoliło ustalić, że konto istnieje i sprawia wrażenie poprawnie
działającego konta- Jakie kroki należy podjąć?
Podsumowanie lekcji
• Podobnie jak użytkownicy, komputery obsługują konta, w tym identyfikatory SID oraz członkostwo
grupy. Należy ostrożnie postępować podczas usuwania obiektu konta. Wyłączenie obiektu komputera
pozostawia możliwość włączenia komputera, jeśli komputer ten musi być ponownie częścią domeny.
• Problemy dotyczące kont komputerów mówiąc ogólnie są dość oczywiste, dzięki komunikatom, które
wskazują na rodzaj problemów związanych z hasłami, kanałem bezpieczeństwa bądź relacjami zaufania.
• Korzystając w czterech reguł opisanych w lekcji 3, można praktycznie rozwiązać dowolny problem
związany z kontem komputera.
168
MCSE Training Kit: Egzamin 70-290
Zadanie praktyczne
Firma Contoso zdecydowała otworzyć dwie nowe filie: East oraz West. W każdym biurze zakupionych
zostało 10 komputerów przeznaczonych dla przedstawicieli handlowych. Przyjęte indeksy dla nowych
komputerów przedstawione zostały w poniższej tabeli.
Filia East
Filia West
EB-2841
WB-3748
EB-2842
WB-3749
EB-2843
WB-3750
EB-2844
WB-3751
EB-2845
WB-3752
EB-2846
WB-3753
EB-2847
WB-3754
EB-2848
WB-3755
EB-2849
WB-3756
EB-2850
WB-3757
Zadanie polega na przygotowaniu usługi Active Directory do rozmieszczenia tych komputerów.
Ćwiczenie 1: Utworzenie jednostek organizacyjnych OU
Utwórz dwie jednostki organizacyjne w domenie contoso.com: EastBranch oraz WestBranch. Nazwy wpisz
tak, jak zostały przedstawione, bez spacji pomiędzy wyrazami.
Ćwiczenie 2: Utwórz skrypt potrzebny do utworzenia kont komputerów
1. Otwórz program Notepad (Notatnik).
2. Dla każdego komputera wpisz wiersz wzorując się na poniższym przykładzie:
DSADD COMPUTER ?CN=EB-2841.OU=EastBranch,DC=Contoso,DC=COM? -desc
?Sales Rep Computer? -loc ?East Branch Office?
Należy pamiętać, aby modyfikować parametr CN= tak, aby był zgodny z indeksem każdego komputera
oraz aby parametry OU= i -loc odzwierciedlały nazwy i opis lokalizacji filii.
3. Zapisz plik jako „C:\ScriptComputers.bat" i zwróć uwagę, czy nazwa została objęta znakami cudzy-
słowu, gdyż w przeciwnym razie Notatnik automatycznie utworzy plik z rozszerzeniem .txt.
4. Otwórz okno wiersza poleceń i wpisz polecenie c:\scriptcomputers.
5. Przeglądając jednostki organizacyjne EastBranch oraz WestBranch sprawdź, czy konta komputerów
zostały poprawnie wygenerowane. Jeśli nowe komputery nic są widoczne, należy nacisnąć klawisz F5,
ponieważ konsola MMC nic odświeża automatycznie ekranu.
Rozdział 5: Konta komputerów
169
Rozwiązywanie problemów
Po weekendzie, podczas którego konsultant pracował na komputerach w filii EAST, użytkownicy zaczęli
zgłaszać problemy związane z logowaniem. W dzienniku zdarzeń na jednym z komputerów filii
zarejestrowane zostało następujące zdarzenie:
Na tej podstawie można sądzić, że problem ma związek z kontem komputera. Które
z poniżej wymienionych kroków należy podjąć, aby rozwiązać problem?
1. Usunąć konta komputerów
2. Wyzerować konta użytkowników
3. Przyłączyć komputery do grupy roboczej
4. Wyłączyć konta komputerów
5. Wyzerować konta komputerów
6. Włączyć konta komputerów
7- Utworzyć nowe konta komputerów
8. Dołączyć komputery do domeny
Prawidłowa odpowiedź to 5, 3 oraz 8. Jest to najbardziej skuteczne rozwiązanie — wyzerowanie kont
komputerów i ponowne ich przyłączenie do domeny.
Ćwiczenie 1 (Opcjonalne): Symulacja problemu
Jeśli w podczas lekcji 1 dołączony został do domeny Contoso dodatkowy komputer, należy go teraz
przenieść do jednostki organizacyjnej EastBranch. Następnie, za pomocą przystawki Active Directory Users
And Computers (Użytkownicy i komputery usługi Active Directory), wyzerować konto komputera.
170
MCSE Training Kit: Egzamin 70-290
Po ponownym uruchomieniu komputera należy spróbować zalogować się do domeny. Czy ta operacja
powiodła się? Czy można zalogować się za pomocą kont domeny Contoso używanych przedtem? Dla-
czego? Wskazówka: logowania buforowane.
Czy można zalogować się za pomocą nowego konta domeny, które nigdy przedtem nie było używane do
logowania na komputerze? Wykonanie takiej próby powoduje wyświedenie typowego komunikatu
informującego, że konto komputera nie zostało znalezione.
Zaloguj się jako administrator lokalny i przeanalizuj dziennik zdarzeń. Jaki komunikat o błędzie został tam
zarejestrowany?
Ćwiczenie 2: Zerowanie wszystkich kont komputerów filii East
Najszybszym sposobem zerowania wszystkich kont komputerów, w szczególności dlatego, że wszystkie
konta znajdują się w tej samej jednostce organizacyjnej, będzie zastosowanie narzędzia wiersza poleceń.
1. Otwór/ okno wiersza poleceń.
2. Wpisz następujące polecenie:
DSOUERY COMPUTER ?OU=EastBranch,DC=contoso,DC=com?
Polecenie to wyszukuje w usłudze Active Directory komputery jednostki organizacyjnej EastBranch.
Powstała lista powinna zgadzać się z listą komputerów utworzonych w zadaniu praktycznym.
3. Wpisz
następujące polecenie:
DSOUERY COMPUTER ?OU=EastBranch.DC=contoso,DC=com? | DSMOO COMPUTER -
RESET
W tym momencie wyniki polecenia DSQUERY są przekazywane i stanowią informację wejściową dla
polecenia DSMOD. Polecenie DSMOD COMPUTER -RESET wyzeruje każde konto, czyli zadanie
zostało wykonane.
Ćwiczenie 3 (Opcjonalne): Ponowne przyłączenie do domeny
W poprzednim ćwiczeniu wyzerowane zostało konto komputera dodatkowego. Teraz można w praktyce
przeprowadzić operację usunięcia komputera z domeny poprzez przeniesienie jego członkostwa do grupy
roboczej. Po ponownym uruchomieniu komputera należy ponownie przyłączyć komputer do domeny.
Podsumowanie rozdziału
• Aby utworzyć obiekt komputera w usłudze Active Directory, należy mieć odpowiednie uprawnienia.
Uprawnienia takie mają członkowie grup Administrators (Administratorzy) oraz Account Operators
(Operatorzy kont). Uprawnienia te mogą zostać przekazane innym użytkownikom bądź grupom.
• Po utworzeniu obiektu komputera można wyspecyfikować, który użytkownik lub grupa może przy-
łączyć komputer do domeny za pomocą tego konta.
Rozdział 5: Konta komputerów
171
• Przystawka Active Directory Users And Computers (Użytkownicy i komputery usługi Active Directory)
umożliwia tworzenie, modyfikowanie, usuwanie, włączanie, wyłączanie i zerowanie obiektów
komputera.
• Za pomocą rozkazu DSADD Computer można w wierszu poleceń utworzyć obiekt komputera oraz
modyfikować jego właściwości.
• Polecenie DSMOD Computer jest również używane do zerowania, wyłączania i włączania obiektu
komputera. Polecenie DSRM usuwa obiekt komputera. Program narzędziowy NETDOM wyposażony
jest w szereg przełączników, dzięki którym można wykonywać podobne zadania.
• Najczęściej stosowane sposoby rozwiązywania problemów związane z odtwarzaniem kont komputera to
ponowne utworzenie lub zerowanie konta komputera, usunięcie komputera z domeny oraz ponowne
przyłączenie komputera do domeny.
Informacje dla zdających egzamin
Przed przystąpieniem do egzaminu należy zapoznać się z przedstawionymi poniżej najważniejszymi faktami
i pojęciami, aby określić, które tematy wymagają pogłębienia. Należy powrócić do lekcji, aby osiągnąć
większą wprawę oraz przejrzeć działy znajdujące się w części 2 — „Materiały dodatkowe". Informacje tu
zawarte kierują do materiałów uzupełniających tematy objęte zadaniami egzaminacyjnymi.
Najważniejsze fakty
• Identyfikacja minimalnych uprawnień wymaganych do utworzenia obiektu komputera w usłudze Active
Directory oraz uprawnień wymaganych do zmiany członkostwa komputera pomiędzy domeną a grupą
roboczą.
• Znajomość składni poleceń DSADD, DSMOD oraz DSRM. Warto zapamiętać, że do stosowania poleceń
DSMOD oraz DSADD wymagane jest użycie jako parametrów jednej lub kilku nazw wyróżniających.
Do sporządzenia listy tych parametrów (nazw) może być wykorzystywane polecenie DSQUERY.
• Zrozumienie różnic pomiędzy wyłączaniem, zerowaniem i usuwaniem kont komputerów. Jaki jest
wpływ każdej z tych czynności na obiekt komputera, jego identyfikator SID, członkostwo w grupach
oraz na sam system?
• Znajomość czterech reguł rozwiązywania problemów związanych z kontami komputerów. Zawsze
należy stosować wszystkie cztery reguły, co pozwoli rozwiązać prawie każdy problem dotyczący konta
komputera.
• Należy dobrze opanować sposoby wyszukiwania obiektów w usłudze Active Directory, a także metody
zarządzania wyszukanymi obiektami. Umiejętności te dotyczą wielu obiektów usługi Active Directory i
szeregu zadań podczas egzaminu certyfikującego.
Najważniejsze pojęcia
Konto komputera Utworzone w usłudze Active Directory konto jednoznacznie identyfikujące komputer w
domenie.
172
MCSE Training Kit: Egzamin 70-290
Pytania i odpowiedzi
155 Pytania do lekcji 1
1. Jaką minimalną tożsamość musi użytkownik poświadczyć, aby mógł ucworzyć konto komputera
systemu Windows Server 2003 w jednostce organizacyjnej domeny? Należy rozważyć wszystkie
kroki procesu przy założeniu, że konto tego komputera nic było wcześniej utworzone w usłudze
w Activc Dircctory.
a. Domain Admins (Administratorzy domen)
b. Enterprise Admins (Administratorzy przedsiębiorstwa)
c. Administrators on a domain controller (Administratorzy kontrolera domeny)
d. Account Operators on a domain controller (Operatorzy kont kontrolera domeny)
e. Server Operators on a domain controller (Operatorzy serwerów kontrolera domeny)
f. Account Operators on the server (Operatorzy kont serwera)
g. Server Operators on the server (Operatorzy serwera, na danym serwerze)
h. Administrators on the scrver (Administratorzy serwera)
Prawidłowa odpowiedź to d oraz h. Członkowie grupy Account Operators (Operatorzy kont) kontrolera
domeny mają przydzielone minimalne uprawnienia potrzebne do utworzenia w domenie obiektu
komputera. Aby zmienić członkostwo domeny konta komputera, trzeba być członkiem grupy
administratorów lokalnych serwera.
2. W którym miejscu można zmienić członkostwo domeny komputera systemu Windows Servcr
2003?
a. Właściwości modułu My Computer (Mój komputer)
b. Moduł System w programie Control Panel (Panel sterowania)
c. Przystawka Active Directory Uscrs and Compurers (Użytownicy i komputery usługi Active
Dircctory)
d. Folder Network Connections (Połączenia sieciowe)
e. Moduł Users (Użytkownicy) w programie Control Panel (Panel sterowania)
Prawidłowe odpowiedzi to a, b oraz d.
3- Za pomocą którego programu narzędziowego wiersza poleceń można utworzyć w usłudze Active
Directory konto komputera domeny?
a. NETDOM
b. DSADD
c. DSGET
d. NETSH
e. NSLOOKUP
Prawidłowe odpowiedzi to a oraz b.
Rozdział 5: Konta komputerów
173
Pytania do lekcji 2
1. Która
platforma
umożliwia przyłączenie do domeny?
a. Windows
95
b. Windows NT 4
c. Windows
98
d. Windows
2000
e. Windows
Me
f. Windows
XP
g. Windows Server 2003
Prawidłowe odpowiedzi to b, d, f oraz g.
2. Po otwarciu obiektu komputera, na zakładce Operating System (System operacyjny) nie są wyświet
lane żadne właściwości. Co może być tego przyczyną?
Komputer nie przyłączył się do domeny za pomocą tego konta. Domyślne ustawienia określają, że po
przyłączeniu systemu do domeny, jego właściwości są umieszczane na zakładce Operating System
(System operacyjny).
3. Dyrektor ma komputer przenośny nazwany „TopDog", działający pod kontrolą systemu Windows
XP. Należy umożliwić dołączenie tego komputera do domeny oraz zapewnić, że konfiguracja tego
komputera będzie bezpośrednio określana przez zasady grupy powiązane z jednostką organizacyjną
Deskcops. W jaki sposób można zrealizować takie zadanie?
Dla komputera TopDog należy utworzyć obiekt komputera w jednostce organizacyjnej Desktops.
Podczas tworzenia konta należy w polu opcji The Following User Or Group Can Join This Computer To
A Domain (Poniższy użytkownik lub grupa może przyłączyć ten komputer do domeny) wybrać konto
użytkownika dyrektora.
4. Dlaczego zalecaną praktyką jest utworzenie obiektu komputera przed przyłączeniem komputera
do domeny?
Jest kilka powodów, dlaczego w domenie warto utworzyć konto komputera przed przyłączeniem
komputera do domeny. Pierwszy powód dotyczy faktu, że jeżeli konto nie zostanie wcześniej utworzone,
to podczas dołączania komputera do domeny konto zostanie automatycznie wygenerowane i
umieszczone w domyślnym kontenerze nazwanym Computers (Komputery). W rezultacie zasady
komputera, które najczęściej są powiązane z określoną jednostką organizacyjną, nic będą stosowane do
dołączonego komputera. Oprócz tego, ponieważ większość organizacji tworzy specjalne jednostki
organizacyjne dla komputerów, po przyłączeniu do domeny trzeba będzie wykonać dodatkowy krok:
przeniesienie obiektu komputera do odpowiedniej jednostki organizacyjnej. W końcu, dzięki wcześ-
niejszemu utworzeniu obiektu komputera można wyspecyfikować, które grupy (lub użytkownicy) mogą
za pomocą lego konta dołączać komputer do domeny. Krótko mówiąc, podejście takie jest bardziej
elastyczne oraz zapewnia większą kontrolę podczas instalowania komputerów.
Pytania do lekcji 3
1. Po okresie rozwoju przedsiębiorstwo utworzyło drugą domenę. W zeszłym tygodniu, kilka komputerów
zostało przeniesionych ze starej do nowej domeny. Po uruchomieniu przystawki Active Dircctory Users
And Computers (Użytkownicy i komputery usługi Acrive Directory), obiekty tych
174
MCSE Training Kit: Egzamin 70-290
komputerów w dalszym ciągu znajdowały się w starej domenie, a ich ikony oznaczone były czerwonym
krzyżykiem „X". Który kierunek działań będzie najbardziej odpowiedni?
a. Włączenie kont
b. Wyłączenie kont
c. Zerowanie
kont
d. Usunięcie kont
Prawidłowa odpowiedź to d. Podczas przesuwania komputera do innej domeny, konto jego nie zostało
usunięte, prawdopodobnie ze względu na ustawienia uprawnień. Obecnie komputer należy do innej
domeny, a konto nie jest już potrzebne.
2. Użytkownik powiadomił, że podczas logowania na monitorze pojawił się komunikat informujący,
że komputer nie mógł połączyć się z domeną z powodu wyłączenia kontrolera domeny lub braku
konta komputera. Wyszukiwanie konta w przystawce Active Directory Users And Computets
(Użytkownicy i komputery usługi Activc Directory) pozwoliło ustalić, że rzeczywiście takie konto
nie istnieje. Jakie kroki należy podjąć?
Utworzyć konto komputera, odłączyć komputer użytkownika od domeny, a następnie ponownie go
przyłączyć.
3. Użytkownik powiadomił, że podczas logowania na monitorze pojawił się komunikat informujący,
że komputer nie mógł połączyć się z domeną z powodu wyłączenia kontrolera domeny lub braku
konta komputera. Wyszukiwanie konta w przystawce Active Directory Users And Computers
(Użytkownicy i komputery usługi Active Directory) pozwoliło ustalić, że konto istnieje i sprawia
wrażenie poprawnie działającego konta. Jakie kroki należy podjąć?
Wyzerować konto komputera, odłączyć komputer użytkownika od domeny, a następnie ponownie go
przyłączyć.