Присоединение компьютеров к домену. Публикация ресурсов в Active Directory
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
к лабораторной работе
"Создание домена Windows Server 2003"
по дисциплине «Методы создания информационно - телекоммуникационных систем»
Шостка 2014
Создание домена Windows Server 2003
Цели работы:
• научиться создавать домен Windows Server 2003;
• научиться устанавливать службу каталога Active Directory;
• изучить структуру службы каталога Active Directory.
Примечание. В процессе установки может потребоваться вставить в дисковод установочный компакт-диск Windows Server 2003
Задание 1. Установить на сервере службу каталога Active Directory, создать домен mydomain.uа.
Указания к выполнению
1. Запустите мастер установки Active Directory Start – Run – dcpromo.
2. Следуя шагам мастера установки, выберите следующие параметры установки:
• в окне Domain Controller Type (Тип контроллера домена) – переключатель Domain controller for a new domain (Контроллер домена в новом домене);
• в окне Create New Domain (Создать новый домен) – переключатель Domain in a new forest (Домен в новом лесу);
• в окне Install or Configure DNS (Установка или настройка DNS) – переключатель No, just install and configure DNS on this computer (Нет, DNS уже установлена и настроена на этом компьютере), если служба DNS уже установлена на сервере, или Yes, I will configure the DNS client (Да, я буду конфигурировать клиента DNS);
• в окне New Domain Name (Новое доменное имя) наберите mydomain.uа в строке Full DNS Name For New Domain (Полное DNS-имя нового домена);
• в окне NetBIOS Domain Name (Доменное имя NetBIOS) должна появиться запись MYDOMAIN;
• убедиться, что для размещения базы данных и протокола выбран путь C:\WINDOWS\NTDS, а для размещения каталога SYSVOL указан путь C:\WINDOWS\SYSVOL;
• в окне Permissions (Разрешения) выберите Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems (Разрешения, совместимые только с операционными системами Windows 2000 или Windows Server 2003);
• в окне Directory Services Restore Mode Administrator Password (Пароль администратора для режима восстановления) введите пароль, который хотите присвоить этой учетной записи сервера Administrator в случае, если компьютер загрузится в режиме Directory Services Restore (Режим восстановления);
• в окне Summary (Сводка) изучите список выбранных вами параметров установки и дождитесь завершения процесса установки Active Directory.
3. В окне Completing The Active Directory Installation Wizard (Завершение работы мастера установки Active Directory), щелкните кнопку Finish (Готово), а затем кнопку Restart Now (Перезагрузить компьютер сейчас).
Задание 2. Просмотреть созданный домен одним из способов.
Указания к выполнению
1-й способ.
Откройте My Network Places – Entire Network – Microsoft Windows Network (Мое сетевое окружение – Вся сеть – сеть Microsoft Windows). Убедитесь, что появилась запись о домене mydomain, в котором содержится один компьютер – Server.
2-й способ.
1 В меню Start – Programs – Administrative Tools (Пуск – Программы – Администрирование) выберите Active Directory Users And Computers (Пользователи и компьютеры Active Directory). Откроется одноименная оснастка.
2 В дереве оснастки дважды щелкните на mydomain.uа (или на имени вашего домена), чтобы увидеть содержимое узла mydomain.uа.
3 В разделе Domain Controllers (Контроллеры домена) дерева оснастки просмотрите название контроллера домена и его полное имя DNS (например, если имя изолированного сервера было server, то после установки домена должно стать server.mydomain.uа).
4 В разделе Users (Пользователи) просмотрите список встроенных учетных записей пользователей и групп пользователей домена.
5 Активизируйте встроенную учетную запись Guest (Гость) и попробуйте войти в систему. Удалась ли попытка сделать это? На контроллеры домена разрешен вход только администраторам домена.
6 Закройте консоль Active Directory Users And Computers.
Сохраните в отчет скриншоты по результатам обоих способов.
Задание 3. Проверить работу службы DNS с помощью оснастки DNS.
Указания к выполнению
1. Откройте консоль DNS командой Start – Programs – Administrative Tools – DNS (Пуск – Программы – Администрирование – DNS).
2. В дереве консоли DNS щелкните правой кнопкой по имени вашего сервера и выберите команду Properties (Свойства). Откроется окно свойств SERVER (если у сервера другое имя, то в заголовке окна будет значиться оно).
3. Перейдите на вкладку Monitoring (Наблюдение).
4. В списке Select A Test Type (Выберите тип теста) пометьте флажки A Simple Query Against This DNS Server (Простой запрос к этому DNS-серверу) и A Recursive Query To Other DNS Servers (Рекурсивный запрос к другим DNS-серверам) и щелкните Test Now (Протестировать). В окне свойств Server в списке результатов тестирования должна появиться надпись PASS (Пройден успешно) или FAIL (Не пройден) – в столбцах Simple Query (Простой запрос) и Recursive Query (Рекурсивный запрос). Объясните полученные результаты.
Задание 4. Удалить службу Active Directory.
Указания к выполнению
Запустите мастер установки и удаления Active Directory Start – Run – dcpromo.
Самостоятельная работа
Согласно заданию проекта установите домен с именем faculty.ua, где контроллером домена является server.faculty.ua, IP-адрес которого 192.168.1.1.
# Отразите в отчете с помощью скриншотов все этапы установки.
Контрольные вопросы
1. Опишите различия между рабочей группой и доменом.
2. Каково основное различие между ОС Windows XP и Windows Server 2003?
3. Возможно ли создать домен в сети, где все компьютеры сети работают под управлением ОС Windows XP?
4. Дайте определение контроллера домена.
5. Перечислите известные Вам встроенные учетные записи пользователей и групп пользователей домена и опишите их назначение.
6. Что означает термин «изолированный» сервер?
7. Опишите различия между рабочей группой и доменом.
8. Почему встроенная учетная запись Guest (Гость), как правило, бывает отключена?
Создание и администрирование учетных записей пользователей и групп
Цели работы:
• научиться создавать, изменять удалять учетные записи и группы;
• научиться задавать и изменять пароли;
• научиться добавлять учетные записи в группы.
Задание 1. Создайте доменную учетную запись декана:
– имеет доступ ко всем ресурсам сети,
– может осуществлять вход на любой компьютер.
Указания к выполнению
1. Выполните команду Start – All Programs – Administrative Tools – Active Directory Users and Computers (Пуск – Программы – Администрирование – Пользователи и компьютеры Active Directory).
2. Раскройте папку faculty.ua в левой панели окна. Во вложенных папках выберите Users (Пользователи).
3. В меню Action (Действие) выберите команду New – User (Содать – Пользователь).
4. Введите необходимые сведения о пользователе. В разделе User logon name (Имя пользователя при входе в систему) введите dean (декан). Обратите внимание на то, что при создании доменной учетной записи, в отличие от локальной, после имени пользователя отображается имя домена, отделенное от последнего знаком @. Таким образом, полное имя пользователя (User logon name) – dean@faculty.ua.
5. При определении пароля пользователя обязательно установите флажок User must change password at next logon (Пользователь должен сменить пароль при следующем входе в систему).
6. Завершите создание учетной записи.
7. В правой панели найдите учетную запись. Дважды щелкните по ней, чтобы внести дополнительные сведения (адрес, организация и т. д.).
8. Убедитесь в том, что декан может входить в систему в любое время (вкладка Account – Logon Hours (Учетная запись – Часы входа)).
9. Попробуйте войти в домен под учетной записью декана. Почему попытка не удалась?
# Запишите в отчет причину отказа.
10. Зарегистрируйтесь в системе как администратор.
11. Посмотрите свойство учетной записи декана, снова выполнив команду Start – All Programs – Administrative Tools – Active Directory Users and Computers. В окне свойств учетной записи выберите вкладку Member of (Членство в группах) и добавьте учетную запись декана в глобальную группу Администраторы домена с помощью следующих команд Add… – Advanced… – Find now… (Добавить… – Дополнительно… – Найти…) из полученного списка выберите Domain Admins (Администраторы домена).
12. Повторите попытку войти в домен под учетной записью декана.
13. После входа в систему под учетной записью администратора смените пароль декана и снова задайте необходимость смены пароля при следующем входе в систему.
# Внесите в отчет скриншоты окон для пунктов 5, 8, 9, 13.
Задание 2. В соответствии с требованиями политики безопасности сети, в группу администраторов не рекомендуется включать других пользователей домена, кроме лиц, непосредственно выполняющих функции администрирования. Исключите учетную запись декана из группы администраторов.
Указания к выполнению
1. Выполните команду Start – All Programs – Administrative Tools – Active Directory Users and Computers.
2. Раскройте папку faculty.ua в левой панели окна. Во вложенных папках выберите Users.
3. В правой панели найдите учетную запись. Дважды щелкните по ней, и перейдите на вкладку Member of (Членство в группах). Среди списка групп выберите Domain Admins и нажмите Remove.
# Внесите в отчет скриншот окна, запрещающего вход в домен.
Задание 3. Разрешить учетной записи декана осуществлять вход на контроллер домена, не включая его в группу администраторов.
Указания к выполнению
1. Добавить учетную запись декана в группу Print Operators, члены которой могут осуществлять вход на контроллер домена.
2. Войдите в домен под учетной записью декана
3. Предложите другой способ, разрешающий вход на контроллер домена.
# Внесите в отчет скриншот окна главного меню после входа декана на контроллер домена. Опишите другой способ разрешения входа на контроллер домена декану.
Задание 4. Создайте глобальную группу Teachers (Преподаватели):
– тип группы – группа безопасности;
– преподаватели могут осуществлять вход на любой компьютер сети, кроме сервера;
– для каждого из преподавателей существует собственная учетная запись и настройки, которые конфигурируется лично преподавателем.
Указания к выполнению
1. Выполните команду Start – All Programs – Administrative Tools – Active Directory Users and Computers.
2. Раскройте папку faculty.ru в левой панели окна. Во вложенных папках выберите Users.
3. В меню Action выберите команду New – Group (Новое – Группа).
4. В поле Group Name (Имя группы) введите Teachers.
5. В области Group Scope (Область действия группы) щелкните переключатель Global (Глобальная), а в области Group Type (Тип группы) – переключатель Security (Безопасность).
6. Щелкните OK.
Задание 5. Добавьте в группу Teachers (Преподаватели) члена группы – учетную запись декана.
Указания к выполнению
1. Убедитесь, что открыта оснастка Active Directory Users and Computers и выбран контейнер Users.
2. В окне свойств группы Teachers выберите вкладку Members (Члены группы), а затем последовательно кнопки Add… – Advanced… – Find now… из полученного списка выберите учетную запись декана.
3. В окне свойств учетной записи декана найдите информацию о членстве в группе Teachers.
# Внесите в отчет скриншот соответствующего окна.
Самостоятельная работа
Задание 1. Составьте списки встроенных локальных, глобальных доменных, локальных доменных групп и изучите описание каждой встроенной группы.
Задание 2. Заполните таблицы, содержащие сведения о членах домена.
Таблицы должны помогать планировать и создавать учетные записи домена. Пример заполнения таблиц для группы пользователей Деканат и учетной записи Студент смотрите ниже.
Таблица 1. Планирование групп
Группа
пользователей
Тип группы
Количество членов группы
Полное имя пользователей группы
Деканат
Глобальная
Иванов Иван Иванович
Алексеев Алексей Алексеевич
Петров Петр Петрович
Сидоров Федор Владимирович
Таблица 2. Расписание входа в систему
Полное имя
пользователя
Имя
пользователя
для входа в
систему
Членство в
группах
Когда
пользователю
разрешен вход
в систему
С каких компьютеров
пользователю
разрешен вход в
систему
Иванов Иван Иванович
dean
Деканат Преподаватели
Print Operators
В любое время
Все компьютеры
домена
Алексеев Алексей Алексеевич
alekseev
Деканат
Преподаватели
В любое время
Все компьютеры,
кроме контроллера
домена
Студенты
student
–
Рабочие дни
7.30 – 21.30
Запрет –
воскресенье
Таблица 3. Планирование паролей
Имя входа
пользователя
Пользователь должен
сменить пароль при следующем входе в систему
Возможность
изменять свой
пароль
Срок действия
пароля
Пароль
dean
Да
Да
Не ограничен
weerwtbjh
alekseev
Да
Да
60 дней
fhfhgouut
student
Нет
Нет
Не ограничен
# Придумайте не менее трех пользователей из каждой группы и в соответствии с требованиями проекта заполните таблицы 1–3. Внесите таблицы в отчет.
Задание 3. Создайте в соответствии со своими вариантам таблиц 1–3 необходимые по заданию проекта учетные записи пользователей и групп пользователей.
# Внесите в отчет скриншот раздела Users оснастки Active Directory Users and Computers.
Задание 4. Проведите тестирование учетных записей. Например, измените системное время на 6.00 и попытайтесь войти в домен под учетной записью студента. Попытайтесь сменить пароль данной учетной записи.
# Внесите в отчет описание проводимых тестов и соответствующие им скриншоты окон выдаваемых сообщений.
Контрольные вопросы
1. Опишите различия между локальной и доменной учетными записями.
2. С какой целью создают группы пользователей?
3. Объясните назначение локальных, глобальных и универсальных групп.
4. Объясните назначение групп безопасности и групп распространения.
5. Дайте определение и приведите примеры для следующих терминов: «права пользователей», «привилегии пользователей», «разрешения доступа пользователей».
6. Перечислите известные вам встроенные учетные записи пользователей и групп пользователей домена и опишите их назначение.
7. В какую встроенную группу пользователей, отличную от группы администраторов, нужно включить учетную запись, чтобы пользователь мог осуществлять вход на рабочую станцию? Существуют ли другие способы сделать это?
8. Как запретить вход в систему в выходные дни и нерабочее время?
9. Как ограничить срок действия учетной записи?
10. Как отключить учетную запись сотрудника, например, во время его болезни?
11. Назовите длину пароля минимально рекомендуемую и максимально возможную.
12. Как изменить пароль пользователя?
13. Как запретить изменение пароля пользователем?
14. Каковы последствия удаления группы?
Присоединение компьютеров к домену. Публикация ресурсов в Active Directory
Цели работы:
• научиться присоединять компьютеры к домену;
• изучить способы публикации ресурсов;
• научиться задавать и изменять права доступа;
• запускать приложения от имени другого пользователя.
Задание 1. Задайте следующие сетевые параметры рабочей станции:
• имя рабочей станции – user1;
• IP-адрес назначьте из той же подсети, что и контроллер домена (если не работает сервер DHCP).
Задание 2. Убедитесь в возможности установления связи между контроллером домена и рабочей станцией.
# Поместите в отчет скриншот, в котором отражено подтверждение установления связи между компьютерами.
Задание 3. Включите рабочую станцию в домен.
Рассмотрим процесс на примере включения рабочей станции user1 в домен faculty.ua
Указания к выполнению
1. Для присоединения компьютера к домену на рабочей станции следует открыть окно System Properties (Свойства системы), выполнив одну из команд Settings (Настройка) – Control Panel (Панель управления) – System (Система) или вызвать из контекстного меню окно свойств папки My Computer (Мой компьютер).
2. Перейдите на вкладку Computer Name (Имя компьютера).
3. Выберите Network ID (Идентификация). Откроется мастер сетевой идентификации Network Identification Wizard. Нажмите Next (Далее).
4. На вкладке Connecting to the Network (Подключение к сети) выберите This computer is part of a business network, and I use it to connect to other computers at work (Компьютер входит в корпоративную сеть, и во время работы я использую его для соединения с другими компьютерами).
На этой вкладке существует второй вариант. Какой? В каких случаях он применяется?
5. Выберите тип сети – My company uses a network with domain (Моя организация использует сеть с доменами).
6. В окне Network Information (Сетевая информация) изучите, какие сетевые параметры понадобятся.
7. В окне User Account and Domain Information (Сведения об учетной записи и домене) оставьте все без изменения. Нажмите Next.
8. В окне Computer Domain (Домен компьютера) запишите имя домена и узла – Computer name (Имя компьютера) – user1, а Computer domain (Домен компьютера) – faculty. Нажмите Next.
9. Появится окно, в котором нужно ввести имя и пароль учетной записи, которая имеет разрешение на добавление пользователей в домен.
Например, в нашем случае это будут:
• User name – Administrator
• Password – пустой (или текущий пароль администратора)
• Domain – faculty.ua
10. В окне User Account будет предложено добавить новых пользователей. Выберите переключатель Do not add user at this time (Не добавлять пользователей в это время).
11. Нажмите Finish (Готово) и перезагрузите компьютер.
# Внесите в отчет скриншот окна Computer Name (Имя компьютера) рабочей станции.
Задание 4. На рабочей станции войдите в систему под одной из доменных учетных записей.
# Внесите в отчет скриншоты окон Log on to Windows и главного системного меню после входа пользователя на рабочую станцию.
Задание 5. Откройте общий доступ к папке Users, расположенной на сервере. Папка будет служить для временного размещения файлов всех пользователей сети. В ней любой пользователь сети сможет сохранять свои файлы и папки, просматривать ее содержимое, но не должен иметь прав на изменение доступа к ней.
Указания к выполнению
1. Создайте на сервере папку UserDocs. Поместите в нее текстовый файл, содержащий ваши личные данные.
2. В контекстном меню папки выберите Sharing & Security… (Общий доступ и безопасность).
3. На вкладке Sharing (Доступ) выберите Share this folder… (Предоставить в общий доступ). В пункте Share name… (Имя папки общего доступа) наберите имя Студенты – под таким именем папка UserDocs будет доступна пользователям сети.
4. На вкладке Security (Безопасность) назначьте группам пользователей домена права чтения и записи на эту папку (установите соответствующие флажки в столбце Allow (Разрешить)), но не разрешайте полный доступ.
5. Если в разделе Group or user names (Имена групп или пользователей) присутствуют не все учетные записи и группы, то их можно добавить помощью следующих команд Add… – Advanced… – Find now… (Добавить – Дополнительно – Найти). Из полученного списка выберите необходимые объекты доступа.
# Внесите в отчет скриншот окна Security (Безопасность) с соответствующими установками для каждого пользователя домена.
# Почему не рекомендуется устанавливать полный доступ на папку Студенты для пользователей домена? Запишите в отчет ответ.
Задание 6. Получите доступ к папке Студенты с рабочей станции домена.
Указания к выполнению
1. На рабочей станции войдите под любой доменной учетной записью.
2. Получить доступ к папке можно одним из следующих способов:
• в сетевом окружении найдите папку Users;
• выполните команду Start – Run (Пуск – Выполнить) и введите имя в формате \\<имя сервера>\<имя папки>. Например: \\server\users.
3. Убедитесь в том, что здесь вы сможете сохранять свои документы, изменять существующие, но вам отказано изменять права доступа на папку.
# Внесите в отчет скриншот окна сообщения, запрещающего изменения прав доступа.
Задание 7. Подключите общую папку Студенты как сетевой диск G:.
Указания к выполнению
1. Войдите под учетной записью студента.
2. Откройте контекстное меню папки Студенты.
3. Воспользуйтесь командой My Network Places (Мое сетевое окружение) – Map Network Drive (Подключить сетевой диск).
Задание 8. Изучить использование команды Run As.
Указания к выполнению
1. Войдите на сервер под учетной записью администратора.
2. Поместите в папке Студенты с общим доступом приложение, ярлык программы или программу из Control Panel.
3. Запретите студенту доступ к данному объекту.
4. На рабочей станции войдите под учетной записью студента.
5. Откройте папку Студенты и попытайтесь открыть объект. Скопируйте в буфер окно, запрещающее доступ к объекту.
6. Выделите объект и, удерживая Shift, выберите в контекстном меню команду Run As (Запустить как).
7. Установите переключатель Run The Program As The Following User (Запустить программу от имени следующего пользователя).
8. В поле User name введите mydomain\Administrator, а в Password – пароль администратора. Нажмите ОК.
9. Запустите объект.
# Внесите в отчет скриншоты окон:
− запрещающее доступ к объекту,
− Run As,
− окно приложения или другого объекта после получения доступа к нему.
Задание 9. Удалите рабочую станцию из домена.
Указания к выполнению
1. На рабочей станции войдите под учетной записью администратора.
2. Вызовите окно свойств папки My Computer (Мой компьютер).
3. На вкладке Computer Name (Имя компьютера) нажмите Network ID (Идентификация).
4. На вкладке Connecting to the Network (Подключение к сети) выберите This computer is for home use and not a part of business network (Компьютер предназначен для домашнего использования и не входит в корпоративную сеть).
# Внесите в отчет скриншот, запрещающий изменения прав доступа.
# Предложите другой способ исключения рабочей станции из домена.
Самостоятельная работа
Задание 1. Включите в домен рабочую станцию comp1.
Указания к выполнению
Переименуйте рабочую станцию user1 в comp1. Подключите станцию comp1 к домену.
# Поместите в отчет скриншоты окон, в которых отражен каждый шаг процедуры включения рабочей станции в домен.
Задание 2. Создайте папки с общим доступом Документы, Задания, Отчеты. Установите для них разрешения согласно заданию проекта.
# Внесите в отчет скриншоты окон Security (Безопасность) каждой папки с соответствующими установками для каждого пользователя домена.
Задание 3. Выполните проверку разрешений. Например, зарегистрируйтесь под разными учетными записями и попытайтесь получить к ним доступ.
# Внесите в отчет описание проводимых тестов и соответствующие им скриншоты окон выдаваемых сообщений.
Контрольные вопросы
1. Как определить, является ли компьютер членом домена или рабочей группы?
2. Какие разрешения существуют для общих папок?
3. Как отменить наследование свойств объекта от родительской папки?
4. Может ли пользователь запретить доступ администратору к своей папке? Сможет ли администратор в этом случае вернуть права?
5. Опишите права субъектов доступа – Владелец и Администратор.
6. Какая утилита, не требующая смены пользователя, позволяет выполнять действия от имени другого пользователя?