plik

��4 Konta grup Zadania egzaminacyjne omawiane w tym rozdziale: " Tworzenie i zarzdzanie grupami � Tworzenie i modyfikowanie grup za pomoc przystawki konsoli MMC Active Directory Users And Computers (U|ytkownicy i komputery usBugi Active Directory) � Rozpoznawanie i modyfikacja zakresu grupy � Zarzdzanie czBonkostwem grupy � Automatyzacja tworzenia i modyfikowania grup Cele rozdziaBu U|ytkownicy, grupy i komputery s podstawowymi obiektami usBugi katalogowej Active Directory, poniewa| umo|liwiaj pracownikom, ich mened|erom, administratorom systemu czy komukolwiek korzystajcemu z sieci, bezpiecznie okre[la swoj to|samo[. Bez okre[lania to|samo[ci nie byBoby mo|liwe uzyskiwanie dostpu do komputer�w, aplikacji bdz do danych potrzebnych w codziennej pracy. Chocia| prawd jest, |e minimalne wymagania to|samo[ci dotycz u|ytkownik�w i komputer�w, to zarzdzanie zasadami zabezpieczeD pojedynczych u|ytkownik�w staje si niepotrzebnie skomplikowane, o ile u|ytkownicy nie s przypisani do grup. Indywidualne przypisywanie uprawnieD setkom u|ytkownik�w jest problemem, kt�rego rozmiary" s trudne do przewidzenia. Natomiast rozsdny podziaB na grupy czyni proces tworzenia i zarzdzania uprawnieniami znacznie prostszym. System Microsoft Windows Server 2003 ma dwa rodzaje grup, a ka|dy z nich mo|na podzieli na trzy r�|ne zakresy. Zrozumienie konstrukcji tych grup w granicach prawidBowego zakresu umo|liwia lepsze wykorzystanie zasob�w administracyjnych podczas ich tworzenia, przydzielania czy zarzdzania dostpem. Mo|liwo[ci konstrukcji grup zale| od tego czy domena bdz las, w kt�rym grupy zostaBy utworzone, dziaBa w mieszanym, tymczasowym lub macierzystym poziomie funkcjonalno[ci domeny systemu Windows Server 2003. System Windows Server 2003 jest wyposa|ony w szereg wbudowanych grup. Opr�cz tego, u|ytkownik zgodnie ze swoimi potrzebami, mo|e tworzy dowoln ilo[ grup. Lekcje rozdziaBu: " Lekcja 1: Om�wienie rodzaj�w grup i ich zakres�w .......................................................................... 123 " Lekcja 2: Zarzdzanie kontami grup................................................................................................... 129 " Lekcja 3: Automatyzacja zarzdzania kontami grup .......................................................................... 133 121 122 MCSE Training Kit: Egzamin 70-290 Wymagania W celu przeprowadzenia wiczeD zamieszczonych w rozdziale potrzebny bdzie: " Komputer nazwany Servcr01 i dziaBajcy pod kontrol systemu Windows Server 2003. " Serwer Server01 powinien by kontrolerem domeny w domenie contoso.com. RozdziaB 4: Konta grup 123 Lekcja 1: Om�wienie rodzaj�w grup i ich zakres�w Grupy s kontenerami zawierajcymi obiekty u|ytkownik�w i komputer�w. Obiekty te s czBonkami grup. Je[li w li[cie kontroli dostpu (ACL) zasobu okre[lone zostaBy uprawnienia dla grupy, wszyscy czBonkowie danej grupy otrzymuj te uprawnienia. System Windows Server 2003 zostaB wyposa|ony w dwa rodzaje grup: zabezpieczeD i dystrybucyjne. Grupy zabezpieczeD s u|ywane do przypisywania uprawnieD okre[lajcych dostp do zasob�w sieci. Grupy dystry- bucyjne s wykorzystywane do Bczenia u|ytkownik�w w celu utworzenia dystrybucyjnych list poczty elek- tronicznej. Grupy zabezpieczeD mog by u|ywane jako grupy dystrybucyjne, natomiast sytuacja odwrotna nie jest mo|liwa. PrawidBowe zaplanowanie struktury grup wpBywa na zarzdzanie i mo|liwo[ci skalowania, w szczeg�lno[ci w [rodowisku przedsibiorstwa, w kt�rym zainstalowanych zostaBo wiele domen. Wskaz�wka Pomimo, |e ustawienia dla pojedynczych podmiot�w zabezpieczeD (u|ytkownicy i kom- putery) mog by okre[lane przez list ACL, ustawienia takie s raczej rozszerzeniem mo|liwo[ci ni| zalecan reguB administrowania. Je[li na przykBad liczba wyjtk�w list ACL jest nietypowo dBuga, czBonkostwo tej grupy powinno by ponownie przeanalizowane. MateriaBy om�wione podczas lekcji pozwalaj na " Rozpoznawanie typu grupy i prawidBowe ich wykorzystanie " Rozpoznawanie trzech zakres�w grupy i prawidBowe ich wykorzystanie " Om�wienie r�|nic pomidzy grupami a to|samo[ciami specjalnymi Szacunkowy czas lekcji: 15 minut Poziomy funkcjonalno[ci domeny W systemie Windows Server 2003 dostpne s cztery poziomy funkcjonalno[ci domeny: mieszany systemu Windows 2000 (domy[lny), macierzysty systemu Windows 2000, tymczasowy systemu Windows Scrver 2003 oraz poziom systemu Windows Server 2003. " Mieszany Windows 2000 SBu|y do obsBugi kontroler�w domen system�w Windows NT 4, Windows 2000 oraz Windows Server 2003 " Macierzysty Windows 2000 SBu|y do obsBugi kontroler�w domen system�w Windows 2000 oraz Windows Server 2003 " Tymczasowy Windows Servet 2003 SBu|y do obsBugi kontroler�w domen system�w Windows NT 4 oraz Windows Server 2003 " Poziom systemu Windows Server 2003 SBu|y do obsBugi kontroler�w domen systemu Windows Server 2003 Ograniczenia wBa[ciwo[ci grup omawiane w niniejszej ksi|ce dotycz tych czterech poziom�w funkcjonalno[ci domeny. 124 MCSE Training Kit: Egzamin 70-290 Zakresy grupy Zakres grupy okre[la spos�b przypisania uprawnieD czBonkom grupy. Grupy systemu Windows Scrva 2003, zar�wno zabezpieczeD, jak i dystrybucyjne, podzielone zostaBy na cztery zakresy: domeny, lokalny, globalny oraz uniwersalny. Informacja Chocia| grupy lokalne nie s traktowane jako cz[ zakresu grup systemu Windows Server 2003, zostaBy doBczone dla uzupeBnienia. Grupy lokalne Grupy lokalne (lub grupy lokalne komputera) s gB�wnie u|ywane dla zapewnienia kompatybilno[ci z systemem Windows NT 4. Istniej u|ytkownicy i grupy lokalne na komputerach dziaBajcych pod kontrol systemu Windows Server 2003, kt�re s skonfigurowane jako serwery czBonkowskie. Kontrolery domen nie wykorzystuj giup lokalnych. " Grupy lokalne mog zawiera czBonk�w dowolnej domeny lasu, czBonk�w zaufanej domeny innych las�w oraz czBonk�w zaufanych domen niskiego poziomu. " Zakres grupy lokalnej dotyczy przydzielania zasob�w tylko tego komputera, na kt�rym dana grupi istnieje. Lokalne grupy domeny Lokalne grupy domeny s gB�wnie u|ywane do przypisywania dla grup globalnych uprawnieD umo|li- wiajcych dostp do lokalnych zasob�w domeny. Lokalne grupy domeny: " Istniej we wszystkich domenach i lasach o mieszanym, tymczasowym bdz macierzystym poziomk funkcjonalno[ci. " W caBej domenie s dostpne tylko dla domen o macierzystym poziomie funkcjonalno[ci systemu Windows 2000 lub dla domen o poziomie systemu Windows Server 2003. Lokalne grupy domeny funkcjonuj na kontrolerze domeny jako grupa lokalna, o ile domena ma mieszany poziom funk- cjonalno[ci. " Mog zawiera czBonk�w dowolnej domeny lasu, czBonk�w zaufanych domen innych las�w om czBonk�w zaufanych domen niskiego poziomu. " Maj zakres obejmujcy caB domen dla domen o nastpujcych poziomach funkcjonalno[ci Windows 2000 macierzysty lub Windows Server 2003. Mog by tak|e u|ywane do przydzielania uprawnieD do zasob�w na dowolnym komputerze systemu Windows Server 2003, kt�ry znajduje si wewntrz, a nie poza domen, w kt�rej istnieje dana grupa. Grupy globalne Grupy globalne s gB�wnie u|ywane do udosrpniania klasyfikowanego czBonkostwa w lokalnych grupach domeny dla pojedynczych podmiot�w zabezpieczeD lub dla bezpo[redniego przypisania uprawnieD (w szczeg�lno[ci dla domen o mieszanym bdz tymczasowym poziomic funkcjonalno[ci). Grupy globalne s czsto u|ywane do gromadzenia u|ytkownik�w lub komputer�w tej samej domeny i wsp�Bdzielcych takie same zadania, role bdz funkcje. Grupy globalne: RozdziaB 4: Konta grup 125 " Istniej we wszystkich domenach i lasach o mieszanym, tymczasowym bdz macierzystym poziomie funkcjonalno[ci. " Mog mie czBonk�w, kt�rzy znajdujcych si w tej samej domenie. " Mog by czBonkiem lokalnej grupy komputera lub domeny. " Mog mie uprawnienia w dowolnej domenie (wliczajc w to zaufane domeny innych las�w i domeny system�w wcze[niejszych ni| Windows 2003) " Mog zawiera inne grupy globalne (tylko dla macierzystego poziomu funkcjonalnego domeny systemu Windows 2000 lub dla poziomu funkcjonalnego domeny systemu Windows Scrver 2003) Grupy uniwersalne Grupy uniwersalne s gB�wnie u|ywane do przydzielania dostpu do zasob�w wszystkich zaufanych domen, przy czym grupy uniwersalne mog by jedynie u|ywane jako podmioty zabezpieczeD (typ grupy zabezpieczeD) tylko dla macierzystego poziomu funkcjonalnego domeny systemu Windows 2000 lub dla poziomu funkcjonalnego domeny systemu Windows Server 2003 " Grupy uniwersalne mog mie czBonk�w w dowolnej domenie lasu. " Dla macierzystego poziomu funkcjonalno[ci domeny systemu Windows 2000 lub dla poziomu funkcjonalnego domeny systemu Windows Server 2003, grupy uniwersalne mog mie uprawnienia dowolnej domeny, wliczajc w to zaufane domeny innych las�w. Wskaz�wka Grupy uniwersalne mog by pomocne przy przedstawianiu i konsolidacji grup, kt�re obejmuj kilka domen oraz przy wykonywaniu wsp�lnych zadaD w obrbie przedsibiorstwa. Przy- datn wskaz�wk mo|e by wyznaczenie rzadko zmieniajcych si grup u|ywanych w du|ym zakresie, jako grup uniwersalnych. Konwersja grupy Zakres grupy jest okre[lany w momencie jej tworzenia. Jednak|e, dla macierzystego poziomu funkcjo- nalnego domeny systemu Windows 2000 lub dla poziomu funkcjonalnego domeny systemu Windows Server 2003, lokalne lub globalne grupy domeny mog zosta przeksztaBcone w grupy uniwersalne, pod warunkiem, |e grupy te nie s czBonkami innych grup tego samego zakresu. PrzykBadowo, grupa globalna, kt�ra jest czBonkiem innej grupy globalnej, nie mo|e by przeksztaBcona w grup uniwersaln. Tabela 4-1 jest podsumowaniem wykorzystania grup domeny systemu Windows Server 2003, jako podmiot�w zabezpieczeD (typ: grupy zabezpieczeD). Tabela 4-1. Zakres grupy i dozwolone obiekty Zakres grupy Dozwolone obiekty Macierzysty poziom funkcjonalno[ci domeny systemu Windows 2000 lub poziom funkcjonalno[ci domeny systemu Windows Server 2003 Domain Local (lokalny Konta komputer�w, u|ytkownicy, grupy globalne oraz grupy uniwer- domeny) salne dowolnej domeny lub zaufanych domen. Grupy lokalne domeny (tej samej domeny). Zagnie|d|one grupy lokalne domeny (tej samej domeny). cig dalszy na nastpnej stronie 126 MCSE Training Kit: Egzamin 70-290 cig dalszy ze strony poprzedniej Zakres grup Dozwolone obiekty Global (globalny) U|ytkownicy, komputery i grupy globalne tej samej domeny. Zagnie|d|one grupy globalne (tej samej domeny), zagnie|d|one grupy lokalne domeny lub zagnie|d|one grupy uniwersalne. Universal (uniwersalny) Grupy uniwersalne, grupy globalne, u|ytkownicy i komputery dowolnej domeny lasu. Zagnie|d|one grupy globalne, zagnie|d|one grupy lokalne domeny lub zagnie|d|one grupy uniwersalne. Mieszany poziom funkcjonalno[ci domeny systemu Windows 2000 lub tymczasowy poziom funkcjonalno[ci domeny systemu Windows Server 2003 Domain Local (lokalny Konta komputer�w, u|ytkownicy lub grupy globalne domeny) Global dowolnej domeny. Nie mog by zagnie|d|ane. (globalny) Jedynie komputery i u|ytkownicy tej samej domeny. Nie mog by zagnie|d|ane. Niedostpne. Universal (uniwersalny) To|samo[ci specjalne Istniej r�wnie| specjalne grupy nazwane to|samo[ciami specjalnymi, kt�re s obsBugiwane przez system operacyjny. To|samo[ci specjalne nie mog by tworzone lub usuwane. Administratorzy nie mog r�wnie| modyfikowa czBonkostwa tych gtup. To|samo[ci specjalne nic pojawiaj si w przystawce Active Directory Users And Computcrs (U|ytkownicy i komputery usBugi Active Directory) ani innych narzdziach sBu|cych do zarzdzania komputerem, ale uprawnienia mog by przydzielane poprzez list ACL. W tabeli 4-2 zamieszczone zostaBy niekt�re to|samo[ci specjalne systemu Windows Server 2003- Tabela 4-2. To|samo[ci specjalne i reprezentowane przez nich obiekty To|samo[ Reprezentowane obiekty Everyone (Wszyscy) Reprezentuje wszystkich aktualnych u|ytkownik�w sieci, wliczajc w to u|ytkownik�w Go/coraz u|ytkownik�w innych domen. Ka|dorazowo, kiedy u|tkownik loguje si do sieci, jest automatycznie dodawany do grupy Everyone. Reprezentuje u|ytkownik�w, kt�rzy aktualnie uzyskali Network (Sie) dostp do danego zasobu za po[rednictwem sieci (w przeciwieDstwie do u|ytkownik�w, kt�rzy uzyskali dostp do zasob�w logujc si lokalnie na komputerze, na kt�rym znajduj si te zasoby). Ka|dorazowo, kiedy u|ytkownik uzyskuje dostp do danego zasobu poprzez sie, jest automatycznie dodawany do grupy Network. Grupa Anonymous Logon dotyczy u|ytkownik�w, kt�rzy korzystaj z Anonymous Logon zasob�w sieci z pominiciem procesu uwierzytelnienia. (Logowanie anonimowe) cig dalszy na nastpnej stronie RozdziaB 4: Konta grup 127 cig dalszy ze strony poprzedniej To|samo[ Reprezentowane obiekty Interactive (Interakcyjni) Reprezentuje wszystkich u|ytkownik�w, kt�rzy s aktualnie zalogowani na danym komputerze i kt�rzy uzyskali dostp do danego zasobu zloka- lizowanego na tym komputerze (w przeciwieDstwie do u|ytkownik�w, kt�rzy uzyskali dostp do zasobu za po[rednictwem sieci). Ka|dorazowo, kiedy u|ytkownik uzyskuje dostp do zasobu komputera, na kt�rym si zalogowaB, automatycznie dodawany jest do grupy InteracDve. Grupa Authenticated Users zawiera wszystkich u|ytkownik�w, kt�rzy zostali Authenticated Users uwierzytelnieni w sieci za pomoc wa|nego konta u|ytkownika. Podczas (U|ytkownicy przydzielania uprawnieD, grup Authenticated Users mo|na u|ywa zamiast uwierzytelnieni) grupy Eueryone, dziki czemu zabroniony zostanie anonimowy dostp do zasob�w. Grupa Creator Owner dotyczy u|ytkownik�w, kt�rzy utworzyli lub s Creator Owner (Tw�rca wBa[cicielami zasobu. PrzykBadowo, je[li u|ytkownik utworzyB zas�b, ale wBa[ciciel) administrator staB si wBa[cicielem tego zasobu, to administrator stanie si czBonkiem grupy Creator Owner. Grupa Dialup zawiera u|ytkownik�w, kt�rzy poBczyli si z sieci za Dialup pomoc Bcza telefonicznego. Uwaga Grupom tym mog by przydzielane uprawnienia dostpu do zasob�w sieci, chocia| przy- dzielajc uprawnienia do niekt�rych grup nale|y zachowa szczeg�ln ostro|no[. CzBonkowie tych grup nie musz by u|ytkownikami, kt�rzy zostali uwierzytelnieni w domenie. Na przykBad, je[li grupie Everyone (Wszyscy) przydzielone zostaBy peBne uprawnienia do udostpnionego zasobu, przyBczeni u|ytkownicy innych domen uzyskaj dostp do tego zasobu. Zadanie kontrolne: Zmiana typu i zakresu grupy W zadaniu rym przeprowadzane s wiczenia praktyczne dotyczce tworzenia grup i modyfikowania ich zakresu. wiczenie 1: Tworzenie i modyfikowanie grupy W wiczeniu tym zmieniony zostanie typ grupy i jej zakres. 1. W przystawce Active Directory Users And Computers (U|ytkownicy i komputery usBugi Active Directory) utw�rz globaln grup dystrybucyjn. Grupa ma znajdowa si w kontenerze Users (U|ytkownicy) nazwanym Agents. 2. Prawym przyciskiem myszy kliknij grup Agents, a nastpnie wybierz polecenie Properties (WBa[- ciwo[ci). Czy mo|na zmienia zakres i typ grupy? Je[li nie, dlaczego nie jest to mo|liwe? Je[li nie mo|na zmienia typu i zakresu grupy, domena, w kt�rej wykonywane s operacje jest wci| domen mieszanego lub tymczasowego poziomu funkcjonalno[ci systemu Windows Server 2003. Aby zmienia typ lub zakres grupy, nale|y zwikszy poziom funkcjonalno[ci domeny do poziomu 128 MCSE Training Kit: Egzamin 70-290 macierzystego domeny systemu Windows 2000 lub do poziomu domeny systemu Windows Server 2003. Pytania Przedstawione poni|ej pytania maj za zadanie ugruntowa podstawowe informacje prezentowane podczas lekcji. Je[li czytelnik nie potrafi udzieli odpowiedzi, powinien ponownie przejrze materiaB lekcji i powr�ci jeszcze raz do pytaD. Odpowiedzi na te pytania mo|na znalez w sekcji Pytania i odpowiedzi", znajdujcej si pod koniec tego rozdziaBu. 1. Kt�ry typ grupy domeny jest najbardziej podobny do grupy lokalnej na serwerze czBonkowskim! Jakie s podobieDstwa tych grup? 2. Je[li w domenie lub lesie u|ywane s grupy uniwersalne i dla czBonk�w tej grupy zachodzi potrzeba uzyskiwania dostpu w oparciu o uprawnienia, jakie musz by speBnione wymagania odno[nie konfiguracji grupy uniwersalnej? 3. Kt�re podmioty zabezpieczeD mog by czBonkiem grupy globalnej w domenie o poziomic funkcjo- nalno[ci domeny systemu Windows Server 2003? Podsumowanie lekcji " Istniej dwa typy grup: grupa zabezpieczeD i grupa dystrybucji. Grupom zabezpieczeD mog by przypisywane uprawnienia, natomiast grupy dystrybucyjne u|ywane s w kontenerach kwerend, takich jak pocztowe grupy dystrybucyjne i do tych grup nic mog by przydzielane uprawnienia do zasob�w. " Uprawnienia zabezpieczeD grup s przydzielane poprzez list ACL, podobnie jak dla innych pod- miot�w zabezpieczeD, takich jak u|ytkownik lub komputer. " Dla macierzystego poziomu funkcjonalno[ci domeny systemu Windows 2000 lub dla pozioma funkcjonalno[ci domeny systemu Windows Server 2003, grupy zabezpieczeD i dystrybucyjne mog by zbudowane jako domeny lokalne, globalne lub uniwersalne, a ka|da dla innego zakresu umieszczanych w grupie podmiot�w zabezpieczeD. RozdziaB 4: Konta grup 129 Lekcja 2: Zarzdzanie kontami grup Przystawka konsoli MMC - Active Directory Users And Computers (U|ytkownicy i komputery usBugi Active Directory) jest podstawowym narzdziem administrowania podmiotami zabezpieczeD domeny, czyli u|ytkownikami oraz komputerami. Podczas tworzenia grup okre[lany jest zakres, typ oraz czBonkostwo grupy. Przystawk Active Directory UsersAnd Computers mo|na r�wnie| stosowa do modyfikowania czBonkostwa istniejcych grup. MateriaBy om�wione podczas lekcji pozwalaj na " Tworzenie grup " Modyfikowanie czBonkostwa grup " Wyszukiwanie grup domeny, do kt�rych nale|y dany u|ytkownik Szacunkowy czas lekcji: 10 minut Tworzenie grupy zabezpieczeD Przystawka Active Directory Users And Computers jest narzdziem najcz[ciej u|ywanym do tworzenia grup. Przystawka znajduje si w folderze Administrative Tools (Narzdzia administracyjne). W oknie szczeg�B�w przystawki nale|y prawym przyciskiem myszy klikn kontener, w kt�rym ma by utworzona grupa i z menu wybra polecenie New, Group (Nowy, Grupa). Nastpnie dla tworzonej grupy nale|y wybra zakres i typ. Podstawowym typem grupy, kt�ra prawdopodobnie bdzie tworzona, jest grupa zabezpieczeD, poniewa| ten typ grupy jest u|ywany do okre[lania uprawnieD w li[cie ACL. Dla mieszanego i tymczasowego poziomu funkcjonalnego domeny mo|na jedynie okre[li grup zabezpieczeD dla zakresu domeny lokalnej lub globalnej. Rysunek 4-1 ilustruje, |e nie mo|na tworzy grupy zabezpieczeD, kt�ra ma uniwersalny zakres w przypadku mieszanego lub tymczasowego poziomu funkcjonalno[ci domeny. Rysunek 4-1. Grupy zabezpieczeD mieszanego lub tymczasowego poziomu funkcjonalno[ci domeny 130 MCSE Training Kit: Egzamin 70-290 W przypadku mieszanego lub tymczasowego poziomu funkcjonalno[ci domeny, grupy lokalne, globalne i uniwersalne mog by jednak utworzone jako grupy dystrybucyjne. Dla mieszanego lub tymczasowego | poziomu funkcjonalno[ci domeny, grupy dystrybucyjne mog by tworzone dla dowolnego zakresu. Modyfikowanie czBonkostwa grup Dodawanie lub usuwanie czBonk�w grupy jest r�wnie| realizowane za pomoc przystawki Actine Dirtc- tory Users And Computers. Prawym przyciskiem myszy nale|y klikn dowoln grup i wybra polecenie Properties (WBa[ciwo[ci). Rysunek 4-2 przedstawia okno dialogowe Properties (WBa[ciwo[ci) dlaglobal- nej grupy zabezpieczeD nazwanej Salcs. Rysunek 4-2. Strona Properties (WBa[ciwo/ci) grupy zabezpieczeD nazwanej Sales W tabeli 4-3 zostaBy wyja[nione zakBadki dotyczce konfiguracji czBonkostwa, umieszczone w oknie dialogowym Properties (WBa[ciwo[ci). Tabela 4-3. Konfiguracja czBonkostwa ZakBadka Funkcja Membcrs (CzBonkowie) Dodawanie, usuwanie lub tworzenie listy podmiot�w zabezpieczeD, kt�re s przechowywane w rym kontenerze, jako jego czBonkowie. Mcmber Of (CzBonek Dodawanie, usuwanie lub tworzenie listy kontener�w, kt�re przecho- grupy) wuj dany kontener. RozdziaB 4: Konta grup 131 Zobacz tak|e Dodatkowe informacje, dotyczce u|ywania narzdzi wiersza poleceD usBugi kata- logowej sBu|cych przegldaniu i modyfikowaniu czBonkostwa grupy, mo|na znalez w rozdziale 3, Konta u|ytkownik�w". Narzdzia te to polecenia DSQUERY, DSGET, DSMOD, oraz DSGROUP. Pole- cenie DSGET jest szczeg�lnie przydatne przy tworzeniu listy wszystkich grup, do kt�rych nale|y dany u|ytkownik. Wyszukiwanie grup domeny, do kt�rych nale|y dany u|ytkownik UsBuga Active Directory umo|liwia elastyczne i pomysBowe zagnie|d|anie grup, przy czym: " Grupy globalne mog by zagnie|d|ane w innych grupach globalnych, uniwersalnych lub lokalnych grupach domeny. " Grupy uniwersalne mog by czBonkami innych grup uniwersalnych lub lokalnych grup domeny. " Lokalne grupy domeny mog nale|e do innych lokalnych grup domeny. Elastyczno[ zagnie|d|ania grup jest potencjalnym zr�dBem zBo|ono[ci i bez odpowiednich narzdzi byBoby bardzo trudno dokBadnie okre[li, do kt�rych grup nale|y u|ytkownik, czy nale|y bezpo[rednio lub po[rednio. Na szcz[cie, system Windows Server 2003 zostaB wyposa|ony w polecenie DSGET, za pomoc kt�rego mo|na rozwizywa takie problemy. W wierszu poleceD nale|y wpisa: dsget uset UserDN -memberof [-expand] PrzeBcznik -memberof zwraca warto[ atrybutu MemberOf pokazujc, do kt�rych grup u|ytkownik nale|y bezpo[rednio. Poprzez dodanie przeBcznika -expand, grupy te bd przeszukiwane rekurencyj-nie, co utworzy peBn list wszystkich grup, do kt�rych nale|y dany u|ytkownik domeny. Zadanie kontrolne: Modyfikowanie czBonkostwa grupy W zadaniu tym omawiane bd czBonkostwa grupy oraz zagnie|d|anie grup pod ktem rozpoznawania, kt�re kombinacje czBonkostwa grup s mo|liwe. wiczenie 1: Zagnie|d|one czBonkostwo grupy 1. Je[li poziom funkcjonalno[ci domeny jest inny ni| dla systemu Windows Server 2003, nale|y za pomoc przystawki Actwe Directory UsersAnd Computers podnie[ go do poziomu funkcjonalno[ci domeny systemu Windows Server 2003. 2. Utw�rz trzy grupy globalne w jednostce organizacyjne Users: Group 1, Group 2 i Group 3. 3. Utw�rz trzy konta u|ytkownik�w: User 1, User 2 i User 3. 4. Skonfiguruj tak, aby konta User 1, User 2 i User 3 byBy czBonkami grupy Group 1. 5. Skonfiguruj tak, aby grupa Group 1 byBa czBonkiem grupy Group 2. Kt�re grupy mo|na teraz przeksztaBci w grup uniwersaln? Sprawdz swoj teori (dla dw�ch grup spo[r�d trzech przeksztaBcenie takie powinno by mo|liwe). 132 MCSE Training Kit: Egzamin 70-290 Pytania Przedstawione poni|ej pytania maj za zadanie ugruntowa podstawowe informacje prezentowane podczas lekcji. Je[li czytelnik nic potrafi udzieli odpowiedzi, powinien ponownie przejrze materia! lekcji i powr�ci jeszcze raz do pytaD. Odpowiedzi na te pytania mo|na znalez w sekcji Pytania i odpowiedzi", znajdujcej si pod koniec tego rozdziaBu. 1. Kt�ra zakBadka w oknie wBa[ciwo[ci grupy jest u|ywana do dodawania u|ytkownik�w do grupy? 2. Wewntrz grupy Sales nale|y zagniezdzi grup IT Administrators, odpowiedzialn za grup Sala tak, aby jej czBonkowie mieli dostp do tych samych, co grupa Sales, zasob�w (okre[lonych przez uprawnienia listy ACL). Kt�r zakBadk na stronie Properties (WBa[ciwo[ci) grupy IT Administrators nale|y si posBu|y, aby okre[li te ustawienia? 3- Pewne [rodowisko skBada si z dw�ch domen: jednej domeny systemu Windows Server 2003 oraz jednej domeny systemu Windows NT 4. Jakim zakresem grupy nale|y si posBu|y do przydzielania uprawnieD do dowolnych zasob�w umieszczonych na komputerze w dowolnej domenie? Podsumowanie lekcji " Modyfikowanie czBonkostwa grupy jest realizowane za pomoc konsoli Active Dircctory Users And Computcrs (U|ytkownicy i komputery usBugi Activc Directory). " Okre[lenie czBonkostwa w grupie dla podmiot�w zabezpieczeD jest realizowane za pomoc zakBadki Members Of (CzBonek grupy) znajdujcej si na zakBadce Security (Zabezpieczenia) we wBa[ciwo[- ciach podmiotu zabezpieczeD. Okre[lanie czBonk�w kontenera (grupy) jest realizowane za pomoq zakBadki Members (CzBonkowie). " Grupy mog by zagnie|d|ane, je[li domena, w kt�rej grupy s umieszczone, ma macierzysty poziom funkcjonalno[ci domeny systemu Windows 2000 lub poziom funkcjonalno[ci domeny! systemu Windows Scrver 2003- Dla mieszanego lub tymczasowego poziomu funkcjonalno[ci! domeny (obsBuga kontroler�w domen systemu Windows NT 4) nic jest mo|liwe zagnie|d|anie grup. " Zmiana typu i zakresu grupy jest mo|liwa tylko, je[li domena ma macierzysty poziom funkcjo no[ci domeny systemu Windows 2000 lub poziom funkcjonalno[ci domeny systemu Wind Server 2003. RozdziaB 4: Konta grup 133 Lekcja 3: Automatyzacja zarzdzania kontami grup Konsola Activc Directory Users And Computers (U|ytkownicy i komputery usBugi Active Directory) jest wygodnym narzdziem tworzenia i modyfikowania pojedynczych grup, nie jest natomiast najbardziej wydajn metod tworzenia du|ej liczby podmiot�w zabezpieczeD. I dlatego system Windows Server 2003 zostaB wyposa|ony w program Ldifde.exe, kt�ry uBatwia importowanie bdz eksportowanie du|ej liczby podmiot�w zabezpieczeD, wliczajc w to grupy. MateriaBy om�wione podczas lekcji pozwalaj na " Import podmiot�w zabezpieczeD za pomoc programu LDIFDE " Eksport podmiot�w zabezpieczeD za pomoc programu LDIFDE " Tworzenie i modyfikowanie grup za pomoc poleceD DSADD i DSMOD Szacunkowy czas lekcji: 30 minut Korzystanie z programu LDIFDE Format LDIF (Data Interchange Format) protokoBu LDAP (Lightweight Directory Access Protocol) jest pierwsz wersj standardu sieci Internet dla formatu plik�w, kt�re mog by u|ywane do przeprowadzania operacji wsadowych w usBudze katalogowej podporzdkowanej standardom protokoBu LDAP. Format LDIF mo|e by stosowany do eksportu i importu danych przy przetwarzaniu wsadowym dla operacji usBugi Activc Directory, takich jak dodawanie i modyfikowanie. Program narzdziowy nazwany LDIFDE zostaB doBczony do systemu Windows Server 2003 dla obsBugi operacji wsadowych bazujcych na standardzie formatu plik�w LDIF. Program narzdziowy wiersza poleceD LDIFDE zostaB doBczony do wszystkich wersji systemu Windows Server 2003. Program LDIFDE mo|na uruchamia stosujc odpowiednie przeBczniki w oknie wiersza poleceD lub powBoce polecenia. Na rysunku 4-3 przedstawione zostaBy gB�wne polecenia programu wy[wietlone za pomoc wprowadzonego w wierszu polecenia Idifde /? 134, MCSE Training Kit: Egzamin 70-290 Rysunek 4-3. Plik pomocy programu wiersza poleceD LDIFDE Tabela 4-4 zawiera list gB�wnych poleceD programu LDIFDE. Tabela 4-4. Polecenia programu LDIFDE (gB�wne) Polecenie Wykorzystanie Parametry gB�wne -i ZaBcza rryb importu (domy[lnym trybem jest eksport) -f filcname (nazwa_pliku) Nazwa pliku wej[ciowego lub wyj[ciowego -s scrvername (nazwa_serwera) Serwer do powizania -c FromDN ToDN Zamiana wystpieD FromDN na ToDN -V WBcza tryb peBnej informacji -j path ([cie|ka) Lokalizacja pliku dziennika -t port Numer portu (domy[lnie 389) _> Pomoc Okre[lone parametry eksportu -d RootDN Katalog gB�wny wyszukiwania LDAP (domy[lnie kontekst nazw) -r Filier (filtr) Filtr wyszukiwania LDAP(domy[lnie (objectClass=*)�) -p SearchScope (zakres wyszukiwania) Zakres wyszukiwania (Base/OneLevel/Subtrce) -1 list (lista) Lista atrybut�w (rozdzielane przecinkami), kt�re bd prze- gldane w procesie wyszukiwania LDAP -o list (lista) Lista atrybut�w (rozdzielane przecinkami), kt�re trzeba pomin w informacjach wej[ciowych WyBcza wyszukiwanie stronicowane "g cig dalszy na nastpnej stroniB RozdziaB 4: Konta grup 135 cig dalszy ze strony poprzedniej Polecenie Wykorzystanie -m Dla eksportu wBcza logik mened|era SAM (Security Accounts Manager) -n Nie eksportuje warto[ci binarnych Okre[lone parametry importu Funkcja importu zignoruje bBdy Constraint Violation" -k (naruszenie wiz�w) oraz Object Already Exists" (obiekt ju| istnieje) Parametry po[wiadczeD Polecenie zostanie uruchomione przy u|yciu wyspecyfiko- -a UserDN wanej nazwy wyr�|niajcej u|ytkownika i hasBa. Na przy- kBad: cn=administrator,dc=contoso,dc-com password" Polecenie zostanie uruchomione dla parametr�w nazwa_ -b UserName Domain u|ytkownia, domena, hasBo. Ustawienia domy[lne okre[laj, (nazwa_u|ytkownika domena) |e polecenie zostanie uruchomione dla po[wiadczeD dotyczcych aktualnie zalogowanego u|ytkownika. Informacja Program narzdziowy LDIFDE doBczony do systemu Windows Server 2003 mo|e zosta skopiowany do systemu Windows 2000 Professional lub Windows XP, a nastpnie powizany i u|y- wany zdalnie w usBudze Active Directory systemu Windows Server 2003. W praktyce Tworzenie konta Czsto zdarza si, |e dysponujemy danymi, kt�rych du|a cz[ bdzie publikowana w usBudze katalogowej systemu Windows Server 2003. Dane te mog by przechowywane w domenach niskiego poziomu (Windows NT 4, Windows 2000, Novell Directory Services (NDS) lub w innego typu bazach danych (dziaBy kadr s znane z opracowywania takich danych). Je[li te dane o u|ytkownikach s dostpne, mo|na je wykorzysta do umieszczenia hurtem" w usBudze Active Directory. Jest wiele narzdzi, kt�re uBatwiaj uzyskiwanie danych, na przykBad Addusers w systemie Windows NT 4 czy LDIFDE w systemie Windows 2000. Opr�cz tego, wikszo[ program�w baz danych ma wbudowane funkcje eksportu rekord�w do plik�w o warto[ciach rozdzielanych przecinkami (CSV). Program LDIFDE mo|e importowa dane na podstawie takiego pliku. W przypadku plik�w CSV nale|y zaznaczy, |e nie mo|na utworzy obiektu bez niekt�rych element�w i je[li w pliku brakuje wymaganego elementu, podczas importu pojawi si bBdy. cig dalszy na nastpnej stronie 136 MCSE Training Kit: Egzamin 70-290 cig dalszy ze strony poprzedni Tworzenie grup wymaga co prawda tylko dw�ch element�w: nazwy wyr�|niajcej (CN=User) oraz lokalizacji (DC=Domain, DC=OU), kt�re to elementy prawdopodobnie nie zostan pominite. Po niewielkiej edycji, dane o jednostce organizacyjnej i grupach mo|na doda do pliku importu, a nastpnie za pomoc programu LDIFDE znacznie szybciej zbudowa usBug Active Directory. Tworzenie grup za pomoc polecenia DSADD Polecenie DSADD omawiane w rozdziale 2 jest u|ywane do tworzenia obiekt�w w ushidze Actht Directory. Aby doda obiekt, nale|y zastosowa nastpujc skBadni polecenia: dsadd group GroupDN... Parametr GroupDN... jest jedn lub kilkoma nazwami wyr�|niajcymi nowego obiektu grupy. Jest I nazwa DN zawiera spacje, caB nazw DN nale|y obj znakami cudzysBowu. Parametr GroupDN.,, mo|e by wprowadzany za pomoc jednej z poni|ej wymienionych metod: " Poprzez wprowadzenie listy nazw DN za po[rednictwem innego polecenia takiego jak dsuery. " Poprzez wpisanie w wierszu poleceD ka|dej nazwy DN oddzielonej znakami spacji. " Poprzez pozostawienie pustego parametru nazwy DN. W tym momencie z klawiatury konsoli mo|na wpisywa w wierszu poleceD pojedyncze nazwy DN. Po ka|dej nazwie DN nale|y nacisn^f ENTER, a po ostatniej nazwie DN nale|y nacisn CTRL+Z. W poleceniu DSADD GROUP, po parametrze DN mo|na u|ywa nastpujcych parametr�w opcjo- nalnych: -secgrp {yes | no} okre[la czy grupa jest grup zabezpieczeD (yes) lub grup dystrybucyjn (no). Warto[ domy[lna parametru yes. -scope (11 g | u} okre[la czy grupa jest lokaln grup domeny (1), grup globaln (g, warto[ domy[lni) lub grup uniwersaln (u). - saraid SAMName (nazwa SAM) - desc Description (opis) -memberof GroupDN... okre[la grupy, do kt�rych nowa grupa ma zosta dodana. - members MemberDN... okre[la czBonk�w nowotworzonej grupy. Zgodnie z opisem zamieszczonym w rozdziale 3, mo|na dodawa parametry -s, -u oraz -p okre[laj, kontroler domeny, z kt�rym zwizane jest wykonywanie rozkazu DSADD, a nazwa u|ytkownika i hasBo, czyli po[wiadczenia, bd u|ywane do wykonania polecenia. {-s Scrver | -d Domain} - u UserName -p {Password | *} RozdziaB 4: Konta grup 137 Modyfikowanie grup za pomoc polecenia DSMOD Polecenie DSMOD, omawiane w rozdziale 2, jest u|ywane do modyfikowania obiekt�w usBugi Active Dircctory. Aby zmodyfikowa obiekt, nale|y u|y nastpujcej skBadni: dsmod group GroupDN... W omawianym poleceniu mo|na stosowa wiele takich samych przeBcznik�w, co w poleceniu DSADD, wliczajc w to samid, -desc, -secgrp oraz -scope. Dla istniejcych grup, najcz[ciej nie zachodzi potrzeba modyfikowania tych atrybut�w. Natomiast najbardziej przydatnymi przeBcznikami s przeBczniki umo|liwiajce zmian czBonkostwa grupy, a w szczeg�lno[ci: -addmbr Member... dodaje czBonk�w do grupy, kt�ra zostaBa wyspecyfikowana w parametrze Group -rmmbr Member... usuwa czBonk�w grupy, kt�ra zostaBa wyspecyfikowana w parametrze Group gdzie, tak jak we wszystkich poleceniach usBugi katalogowej, nazwa DN jest peBn nazw wyr�|niajc innego obiektu usBugi Active Dircctory, objt znakami cudzysBowu, je[li nazwa DN zawiera spacje. Uwaga W dowolnym wierszu poleceD mo|na u|y tylko jednego przeBcznika -addmbr lub -rmmbr. Obu przeBcznik�w nie mo|na stosowa jednocze[nie w pojedynczym poleceniu DSMOD GROUP. Zadanie kontrolne: Wykorzystanie programu LDIFDE do zarzdzania kontami grup W poni|szych wiczeniach pokazane zostanie, w jaki spos�b wy[wietli opcje dostpne w poleceniu LDIFDE, jak wyeksportowa u|ytkownik�w usBugi Active Directory oraz jak w katalogu utworzy obiekt grupy. wiczenie 1: Uruchomienie programu LDIFDE W wiczeniu tym wy[wietlone zosran opcje dostpne w poleceniu LDIFDE. 1. Otw�rz okno Command Prompt (Wiersz polecenia) 2. Aby wy[wierBi list poleceD, wpisz w wie.szu poleceD polecenie: Idifde /?. wiczenie 2: Eksport u|ytkownik�w z jednostki organizacyjnej W wiczeniu tym przeprowadzony zostanie eksporr caBej zawarto[ci (wszyscy u|ytkownicy) jednostki organizacyjnej nazwanej Marketing, znajdujcej si w domenie contoso.com. 1. W domenie contoso.com (serwer Server01 jesr kontrolerem domeny contoso.com) utw�rz jednostk organizacyjn Marketing. 2. W jednostce organizacyjnej Marketing utw�rz dw�ch lub trzech u|ytkownik�w. Nazwy u|ytkownik�w mog by wybrane dowolnie. 3. Otw�rz okno wiersza poleceD i wpisz nastpujce polecenie programu LDIFDE (znak dwukropka : oznacza kontynuacj w nastpnej linii): Idifde -f marketing.ldf -s server01 : -d "ou=Marketing,dc=contoso,dc=com" : -p subtree -r : MCSE Training Kit: Egzamin 70-290 "(objectCategory=CN=Person.CN=Schema,CN=Configuration.: DOcontoso.DC=com)" Rysunek A-A przedstawia komunikaty wy[wietlane po uruchomieniu polecenia. PoT3fl Rysunek 4-4. Komunikaty wy[wietlone po wykonaniu polecenia programu LDIFDE dotyczcej eksportu jednostki organizacyjnej Marketing Polecenie twor/.y plik formatu LDIF nazwany Marketing.ldf poprzez poBczenie si z serwerem Server01 i przejrzenie poddrzewa jednostki organizacyjnej Marketing OU w celu wyszukania wszya-1 kich obiekt�w kategorii Person (osoba) wiczenie 3: Tworzenie grup za pomoc polecenia LDIFDE W wiczeniu tym polecenie LDIFDE bdzie u|ywane do tworzenia jednostki organizacyjno contoso.com. 1. Uruchom edytor tekstowy, jak na przykBad Notatnik i utw�rz plik tekstowy nazwany Newgroup.ldl" (Plik nale|y zapisa jako plik LDIF, a nie jako plik tekstowy). 2. Przeprowadz edycj pliku Newgroup.ldf i dodaj nastpujcy tekst: dn: CN=Management,OU=Marketing,DC=contoso.DOcom changetype: add en: Management objectClass: group samAccountNatne: Marketing 3- Zapisz i zamknij plik LDIF. 4. Otw�rz okno wiersza poleceD, wpisz poni|sze polecenie i naci[nij ENTER: l d i f d e -i -f n e w g r o u p . l d f -s server01 Wskaz�wka Nale|y zwr�ci uwag na dodatkowe znaki niewidoczne (tabulacje, spacje, znaki CR i LR umieszczone w pliku. Znaki te spowoduj nieprawidBowe dziaBanie polecenia, 5. Za pomoc przystawki Active Dircctory Users And Computers (U|ytkownicy i komputery ushij Activc Directory) sprawdz, czy nowa grupa zosraBa utworzona. RozdziaB 4: Konta grup 139 Pytania Przedstawione poni|ej pytania maj za zadanie ugruntowa podstawowe informacje prezentowane podczas lekcji. Je[li czytelnik nie potrafi udzieli odpowiedzi, powinien ponownie przejrze materiaB lekcji i powr�ci jeszcze raz do pytaD. Odpowiedzi na te pytania mo|na znalez w sekcji Pytania i odpowiedzi", znajdujcej si pod koniec tego rozdziaBu. 1. Kt�re z poni|ej wymienionych poleceD programu LDIFDE zmienia jego dziaBanie z funkcji ekspor towania na funkcj importowania? a. -i b. -t c. -f d. -s 2. Kt�re klasy obiekt�w mo|na eksportowa lub importowa za pomoc programu LDIFDE? 3. W bazie danych u|ytkownik�w istnieje mo|liwo[ eksportowania informacji do pliku CSV. Czy taki plik mo|na wykorzysta do importowania lub te| trzeba rcznie utworzy plik *.ldf? Podsumowanie lekcji " Program LDIFDE jest narzdziem doBczonym do systemu Windows Server 2003, kt�re umo|liwia import i eksport danych do/z usBugi Active Directory. " Je[li dysponujemy istniejcym katalogiem danych u|ytkownika, program LDIFDE mo|na wykorzysta do eksportu potrzebnych danych, a nastpnie do zaimportowania ich do usBugi Active Directory. Og�lnie m�wic, jest to bardziej wydajny proces ni| rczne tworzenie pojedynczo ka|dego elementu. Pliki CSV s przydatne, o ile dane s prawidBowo sformatowane i posiadaj wszystkie wymagane elementy uBo|one w odpowiedniej kolejno[ci. " W celu wykorzystania w usBudze Active Directory, program LDIFDE mo|e zosta skopiowany do system�w Windows 2000 lub Windows XP. 140 MCSE Training Kit: Egzamin 70-290 Zadanie praktyczne Administrator uczestniczy w procesie budowania usBugi Active Dircctory i dysponuje niekt�rymi danymi o u|ytkownikach, kt�re dostarczyB dziaB kadr. Dane te to imi, nazwisko, adres oraz numer I telefonu. Zasada przedsibiorstwa stanowi, |e nazwa logowania u|ytkownika powinna by poBczeniem imienia lub inicjaBu oraz nazwiska (na przykBad dla u|ytkownika Ben Smith nazw logowania mo|e' by bsmith), W przedsibiorstwie jest 500 u|ytkownik�w, 30 grup i 10 jednostek organizacyjnych. W ujciu prak- tycznym, jaki jest najlepszy spos�b umo|liwiajcy skonfigurowanie usBugi Active Dircctory najpro[ciej i najszybciej jak jest to mo|liwe? Chocia| nie istnieje absolutnie" poprawna odpowiedz, to nale|y rozwa|y r�|ne poziomy zBo|ono[ci zagadnienia. PoBczenie metod jest prawdopodobnie najlepszym rozwizaniem przy uwzgldnieniu nastpujcych rozwa|aD: " Dane u|ytkownika mog by w razie potrzeby edytowane, ale tych czynno[ci jest niewiele, a do usBugi Active Directory u|ytkownicy wprowadzeni bd za pomoc programu l.DIFDE. " Konstrukcja jednostki organizacyjnej mo|e by fragmentem konstrukcji u|ytkownika, wszystko w oparciu o ten sam plik przy zminimalizowanych czynno[ciach edycyjnych. Dla jednostek organi- zacyjnych r�wnie| u|ywany bdzie program LDIFDE. " Innym zagadnieniem s grupy. Poniewa| czBonkostwo grupy jest w usBudze Activc Directory wielo- warto[ciowym atrybutem, musi by wyspecyfikowane indywidualnie dla ka|dej grupy w momencie jej tworzenia. Przy u|yciu pojedynczego pliku zadanie to byBoby skomplikowane, a prawdopodo- bieDstwo popeBnienia bBd�w wzrosBoby znacznie. Lepszym rozwizaniem jest indywidualne okre- [lanie czBonkostwa grup. RozdziaB 4: Konta grup 141 Rozwizywanie problem�w W usBudze Active Directory tworzenie pojedynczych obiekt�w (u|ytkownik�w, grupy i komputery) jest prostym procesem, natomiast w sytuacji, kiedy istnieje wiele obiekt�w, wyszukiwanie obiekt�w i ich skojarzeD mo|e sta si prawdziwym wyzwaniem. W du|ym, wielodomenowym [rodowisku (lub w mniejszym [rodowisku, lecz o skomplikowanej konstrukcji), rozwizywanie problem�w zwizanych z dostpem do zasob�w mo|e by trudne. Na przykBad, je[li u|ytkownik Karol mo|e uzyskiwa dostp do pewnych, ale nie do wszystkich zasob�w, kt�re zostaBy dla niego przewidziane, to prawdopodobnie nie jest czBonkiem grup, do kt�rych przydzielone zostaBy uprawnienia do tych zasob�w. Je[li w [rodowisku istnieje wiele domen, z kt�rych ka|da zawiera wiele jednostek organizacyjnych, a w tych jednostkach znajduje si wiele zagnie|d|onych grup, to przeanalizowanie czBonkostwa tych grup w celu okre[lenia, czy dany u|ytkownik jest czBonkiem odpowiednich grup, jest bardzo czasochBonne. W takiej sytuacji, przystawka Active Directory Users And Computers (U|ytkownicy i komputery usBugi Active Directory) nie jest najlepszym narzdziem. Aby uzyska peBn list wszysticich grup, kt�rych czBonkiem jest dany u|ytkownik, mo|na u|ywa polecenia DSGET. Podczas realizacji tego wiczenia u|ywany bdzie obiekt u|ytkownika Ben Smith w domenie contoso.com i jednostka organizacyjna Users. 1. W usBudze Active Directory wybierz u|ytkownika, dla kt�rego przeprowadzone zostan opisane poni|ej etapy wiczenia. Je[li konstrukcja usBugi nie jest odpowiednia, nale|y utworzy par grup zagnie|d|onych w kilku jednostkach organizacyjnych, przy czym u|ytkownik nie mo|e by czBonkiem wszystkich grup. 2. Otw�rz okno wiersza poleceD. 3. Wpisz poni|sze polecenie (zastpujc nazw OU i u|ytkownika nazw u|ytkownika wybranego w punkcie 1): dsget user CN=Ben Smith,CN=Users)DC=contoso,DC=com" -memberof -expand Wy[wiedona zostanie peBna lista wszystkich grup, kt�rych czBonkiem jest dany u|ytkownik. Podsumowanie rozdziaBu " Grupy mog by tworzone w dowolnej jednostce organizacyjnej usBugi Active Directory. " Istniej dwa rodzaje grup: grupy zabezpieczeD oraz grupy dystrybucyjne. " Istniej trzy zakresy: grupy lokalne domeny, grupy globalne oraz grupy uniwersalne. " Rczne tworzenie grup jesr realizowane za pomoc przystawki konsoli MMC Active Directory Users And Computers (U|ytkownicy i komputery usBugi Active Directory). " Automatyzacja tworzenia grup realizowana jest przy u|yciu narzdzia wiersza poleceD LDIFDE. " Narzdzia usBugi katalogowej takie jak DSQUERY, DSGET oraz DSMOD mog by u|ywane do utworzenia, modyfikowania oraz wygenerowania listy grup i ich czBonk�w. " Typy grup mog by zmieniane jedynie, je[li poziom funkcjonalno[ci domeny jest nie mniejszy ni| macierzysty poziom funkcjonalno[ci domeny systemu Windows 2000. " Zaawansowane zagnie|d|anie grup jest mo|liwe tylko, je[li poziom funkcjonalno[ci domeny jest nie mniejszy ni| macierzysty poziom funkcjonalno[ci domeny systemu Windows 2000. 142 MCSE Training Kit: Egzamin 70-290 Informacje dla zdajcych egzamin Przed przystpieniem do egzaminu nale|y zapozna si Z przedstawionymi poni|ej najwa|niejszymi fak- tami i pojciami, aby okre[li, kt�re tematy wymagaj pogBbienia. Nale|y powr�ci do lekcji, aby osig- n wiksz wpraw oraz przejrze dziaBy znajdujce si w cz[ci 2 - MateriaBy dodatkowe". Informacje tu zawarte, kieruj do materiaB�w uzupeBniajcych tematy objte zadaniami egzaminacyjnymi. Najwa|niejsze fakty " Typy grup i mo|liwo[ci ich wykorzystywania zale| od poziomu funkcjonalno[ci domeny " Zakres grup oraz r�|ne sposoby zagnie|d|ania grup zale| od poziomu funkcjonalno[ci domeny " Podstawowe przeznaczenie przystawki Activc Directory Uscrs And Compurers (U|ytkownicy i komputery usBugi Active Directory) to tworzenie grup i modyfikowanie ich czBonkostwa " Podstawowe przeznaczenie programu LDIFDE to tworzenie grup oraz eksportowanie grup z jednego katalogu do innego " Podstawowe przeznaczenie polecenia DSGET to tworzenie peBnej listy czBonkostwa danego u|yt- kownika Najwa|niejsze pojcia Lokalne grupy domeny (zakres) Dla mieszanego i tymczasowego poziomu funkcjonalno[ci, grupj lokalne nic s dostpne w caBej domenie, ale tylko na kontrolerach domen. Grupy globalne (zakres) Grupy te s dostpne w caBej domenie przy dowolnym poziomie funkcjo- nalno[ci. Grupy uniwersalne (zakres) Grupy te s dostpne w caBej domenie przy dowolnym poziomie funk- cjonalno[ci, przy czym dla mieszanego poziomu funkcjonalnego domeny systemu Windows 2000 i tymczasowego poziomu funkcjonalno[ci systemu Windows Server 2003 stwierdzenie powy|sze dotyczy tylko grup dystrybucyjnych. Grupy zabezpieczeD (typ) Uprawnienia tych grup mog by przydzielane w li[cie ACL. Grupy dystrybucyjne (typ) Uprawnienia tych grup nie mog by przydzielane w li[cie ACL Pytania i odpowiedzi 128 Pytania do lekcji 1 1. Kt�ry typ grupy domeny jest najbardziej podobny do grupy lokalnej na serwerze czBonkowskim; Jakie s podobieDstwa tych grup? Lokalne grupy domeny s bardzo podobne do grup lokalnych na serwerze czBonkowskim w tyra, {e dla mieszanego lub tymczasowego poziomu funkcjonalno[ci domeny systemu Windows Serw 2003 ograniczone s do komputer�w, na kt�rych zostaBy umieszczone, natomiast w przypadki! lokalnych grup domeny, do kontrolera domeny. Dop�ki poziom funkcjonalno[ci domeny nk zostanie podniesiony do macierzystego poziomu domeny systemu Windows 2000 lub do poziomi domeny systemu Windows Scrver 2003, lokalne grup domeny nie mog by u|ywane do przydzielania uprawnieD na |adnym serwerze domeny opr�cz kontroler�w domeny. RozdziaB 4: Konta grup 143 2. Je[li w domenie lub lesie u|ywane s grupy uniwersalne i dla czBonk�w takiej grupy zachodzi potrzeba uzyskiwania dostpu w oparciu o uprawnienia, jakie musz by speBnione wymagania odno[nie konfiguracji grupy uniwersalnej? Dla grupy uniwersalnej: � Wymagany poziom funkcjonalno[ci domeny to poziom macierzysty dla systemu Windows 2000 lub poziom funkcjonalno[ci domeny systemu Windows Server 2003. � Grupa uniwersalna musi by grup zabezpieczeD (nie mo|e by grup dystrybucyjn). 3. Kt�re podmioty zabezpieczeD mog by czBonkiem grupy globalnej w domenie o poziomie funkcjo nalno[ci domeny systemu Windows Server 2003? � U|ytkownicy � Komputery � Grupy uniwersalne � Grupy globalne 132 Pytania do lekcji 2 1. Kt�ra zakBadka w oknie wBa[ciwo[ci grupy jest u|ywana do dodawania u|ytkownik�w do grupy? ZakBadka Members (CzBonkowie) jest u|ywana do dodawania czBonk�w do grupy. 2. Wewntrz grupy Salcs nale|y zagniezdzi grup IT Administrators, odpowiedzialn za grup Salcs tak, aby jej czBonkowie mieli dostp do tych samych zasob�w (okre[lonych przez uprawnienia listy ACL), co grupa Salcs. Kt�r zakBadk na stronie Propertics (WBa[ciwo[ci) grupy IT Administrators nale|y si posBu|y, aby okre[li te ustawienia? ZakBadka Members Of (CzBonek grupy) jest u|ywana do dodawania grupy IT Administrators do grupy Sales. 3. Pewne [rodowisko skBada si z dw�ch domen: jednej domeny systemu Windows Server 2003 oraz jednej domeny systemu Windows NT 4. Jakim zakresem grupy nale|y si posBu|y do przydzielania uprawnieD do dowolnych zasob�w umieszczonych na komputerze w dowolnej domenie? Dla tymczasowego poziomu funkcjonalno[ci domeny systemu Windows Server 2003, kt�ry jest wymagany do obsBugi domen systemu Windows NT 4, jako podmioty zabezpieczeD u|ywa mo|na tylko grupy globalne. Lokalne grupy domeny s przydatne jedynie na kontrolerach domen systemu Windows Server 2003, natomiast grupy uniwersalne nie mog by u|ywane jako grupy zabezpieczeD w domenach o tymczasowym poziomie funkcjonalno[ci domeny systemu Windows Server 2003. MCSE Training Kit Egzamin 70-290 Pytania do lekcji 3 1. Kt�re z wymienionych poni|ej poleceD programu LDIFDE zmienia jego dziaBanie z funkcji ekspor towania na funkcj importowania? a. -i b. -t c. -f d. -s PrawidBowa odpowiedz to a. Polecenie -i zmienia domy[ln funkcj programu LDIFDE z ekspor- towania na importowanie. 2. Kt�re klasy obiekt�w mo|na eksportowa lub importowa za pomoc programu LDIFDE? Za pomoc programu LDIFDE mo|na wyeksportowa lub zaimportowa dowolny obiekt usBugi Active Directory, wliczajc w to u|ytkownik�w, grupy, komputery lub jednostki organizacyjne, Opr�cz tego, przy u|yciu programu LDIFDE mo|na modyfikowa dowolne wBa[ciwo[ci tych obiekt�w. 3. W bazie danych u|ytkownik�w istnieje mo|liwo[ eksportowania informacji do pliku CSY Gj taki plik mo|na wykorzysta do importowania lub te| trzeba rcznie utworzy plik *.ldf? Plik CSV mo|e by u|ywany do importowania danych o u|ytkownikach do usBugi Active Dircctoiy, Tam, gdzie jest to mo|liwe, brakujce warto[ci zostan zastpione przez system Windows Serw 2003 warto[ciami domy[lnymi, natomiast brak warto[ci obowizkowych w pliku podczas importowania powoduje bBdy, a obiekt nie zostanie utworzony.

Wyszukiwarka

Podobne podstrony:
Dynamika grup w organizacji Wyk éady
INN Serwery grup dyskusyjnych
12 GRUP
DARMOWE DOLADOWANIE KONTA
Zastosowanie teorii grup
program grup 3 lata
Podstawy Projektowania grup połączeń transformatorów
Analiza grup strategicznych Pisarski Keler
Regulamin Oferty Promocyjnej, Zmien na Play na Karte Rok Waznosci Konta 09 03 2015
DARMOWE DOĹADOWANIA KONTA TEL GSM
Domyślne dostępne konta podsum
Tajemnice grup krwi 3
A Borucka, A Pisarska Koncepcja resilience – czyli jak pomóc dzieciom i młodzieży z grup podwyższo
Oriflame linki do grup

więcej podobnych podstron