Настройка  Active Directory

 

Настройка службы каталогов Active Directory

 

После установки службы Active Directory (AD)  её необходимо настроить, создать учетные записи всех пользователей домена, задать свойства каждой из них, объединить их в группы.

Для настройки AD необходимо перейти к пункту: Пуск-> Программы-> Администрирование-> Active Directory – пользователи и компьютеры, после чего появляется консоль, при помощи которой производятся все необходимые настройки.

 

 

Создание пользователя администратор домена

 

Щелкнуть правой кнопкой мыши (ПКМ) на объекте User (Пользователь), выбрать из выпадающего меню Создать->Пользователь.

 

 

В окне «Новый объект - пользователь» ввести имя входа пользователя (например, admin) и нажать «Далее».

 

 

В следующем окне - ввести пароль администратора домена с подтверждением, выбрать режим «Срок действия пароля не ограничен» и нажать «Далее».

 

 

Появится окно с выбранными компонентами, в котором следует нажать «Готово».

 

 

Учетная запись admin создана. Для настройки свойств пользователя необходимо щелкнуть ПКМ на созданной учетной записи admin, выбрать из выпадающего меню команду «Свойства».

Появится окно:

 

 

Для определения группы, в которую входит пользователь достаточно  на вкладке «Член групп»   щелкнуть кнопку «Добавить», в окне «Выбор: Группы»

 

 

необходимо щелкнуть кнопку «Дополнительно», затем - «Поиск».

В появившемся окне  выбирается группа «Domain Admins».

 

 

Происходит возврат в окно свойств.

 

 

На вкладку «Профиль» никакая информация не заносится, так как профиль администратора домена является локальным.

 

 

Создание группы пользователей

 

Щелкнуть ПКМ на объекте User (Пользователь), выбрать из выпадающего меню Создать->Группа.

 

 

В появившемся окне задается имя группы (например, students), выбирается область действия группы – Локальная в домене, тип группы – Группа безопасности.

 

 

Группа пользователей students создана.

 

Создание группы привилегированных пользователей

 

Создание привилегированной группы аналогично созданию группы students. Отличие этих групп определится в дальнейшем при установлении прав доступа и других настроек для этих групп.

Щелкнуть ПКМ на объекте User, выбрать из выпадающего меню  Создать-> Группа.

 

 

В первом окне задается имя группы (например, priv), выбирается область действия группы – Локальная в домене, тип группы – Группа безопасности.

 

 

Группа привилегированных пользователей priv создана.

 

Создание сценария входа в сеть

 

Сценарий входа в сеть (сценарий регистрации), представляет собой командный файл, имеющий расширение bat, или исполняемый файл с расширением ехе, который выполняется при каждой регистрации пользователя в сети. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.

Для пользователей домена создаются различные сценарии входа. Это осуществляется следующим образом: создается текстовый файл, например, с именем time.txt (имя файла может быть любым, соответствующим правилам записи имен в Windows), расширение изменяется на .bat и сохраняется в папке TEST\NETLOGON, где TEST – имя контроллера домена. Сценарий входа может содержать различную информацию.

Для привилегированного пользователя создаваемого домена он может иметь вид:

 

 

где test – имя контроллера домена. Данный сценарий входа позволяет синхронизировать время на локальных компьютерах и сервере TEST.

 

Создание объекта пользователь с перемещаемым  профилем

 

Создание осуществляется аналогично созданию admin-а.

Создается пользователь (например, user-remove).

 

 

вводится его пароль входа в систему с подтверждением, выбирается режим «Срок действия пароля не ограничен».

 

 

Выбранные параметры подтверждаются нажатием  кнопки «Готово».

 

 

Для настройки перемещаемого профиля необходимо на вкладке меню свойств «Профиль» прописать путь к папке, в которой хранится профиль данного пользователя: \\test\netlogon\user_remove\profile.dat,  где test - имя контроллера домена, user_remove – имя пользователя с перемещаемым профилем.

 

 

Если пользователи будут использовать для работы предыдущие версии Windows , достаточно на вкладке «Член групп» щелкнуть «Добавить». В окне «Выбор: Группы»

 

 

щелкнуть «Дополнительно», «Поиск» и выбрать группу «Pre-Windows 2000 Compatible Access.

 

 

Аналогичным образом добавляется группа priv.

 

 

Осуществляется возврат в окно свойств, где нажимается «ОК».

 

 

Пользователь с перемещаемым профилем, входящий в группу привилегированных, создан.

 

Создание объекта пользователь с локальным профилем

 

Создание осуществляется аналогично созданию пользователя с перемещаемым профилем.

    Создается пользователь (например, a055),

 

 

вводится его пароль входа в систему с подтверждением, устанавливаются режимы «Запретить смену пароля пользователям», «Срок действия пароля не ограничен»,

 

 

 

выбранные параметры подтверждаются нажатием кнопки «Готово».

Создается сценарий входа с именем students.bat и сохраняется в папке TEST\NETLOGON, где TEST – имя контроллера домена. Сценарий входа может содержать различную информацию. Для пользователя группы students создаваемого домена он может иметь вид:

 

 

где test – имя контроллера домена. Данный сценарий входа позволяет синхронизировать время на локальных компьютерах и сервере TEST, подключить сетевые диски.

Для локального профиля поле «Путь к профилю» остается пустым.

 

 

Для размещения пользователя в группе достаточно на вкладке «Член групп» щелкнуть кнопку «Добавить»,

 

 

 «Дополнительно», «Поиск» и выбрать группу «Pre-Windows 2000 Compatible Access», так как пользователи будут использовать для работы предыдущие версии Windows ,

 

 

Осуществляется возврат в окно свойств пользователя.

 

 

Пользователь с локальным профилем создан.

 

Доступ к системным папкам

 

Для того, чтобы пользователь с перемещаемым профилем мог использовать и изменять свой профиль следует установить для него определенные права доступа к папке c:\windows\sysvol\sysvol\domain1.local\scripts, где domain1 –имя созданного домена. В данном случае пользователи с перемещаемыми профилями относятся к группе priv, поэтому необходимо разрешить изменение вложенных файлов и папок для этой группы.

На папке c:\windows\sysvol\sysvol\domain1.local\scripts щелкнуть ПКМ и из выпадающего меню выбрать «Свойства». Появится окно «Свойства: scripts».

На вкладке «Безопасность» устанавливаются следующие параметры для группы пользователей priv, имеющих перемещаемые профили:

 

 

Выбор подтверждается нажатием «ОК».

 

На вкладке «Доступ» по умолчанию открыт общий доступ к этой папке под именем NETLOGON, необходимо нажать «Разрешения « для установки разрешений на этот объект.

 

 

В окне разрешений требуется разрешить вносить изменения в папку NETLOGON для привилегированных пользователей (priv), для чего устанавливаются следующие параметры:

 

 

и нажимается «ОК» в этом и следующем окне.

На этом настройка службы каталогов Active Directory завершена.