Примечание J. Операцию можно выполнить из командной строки с помощью утилиты netdom (netdom join ComputerName /Domain DomainName /UserD DomainUserUPN IPasswordD * /UserO

Операцию можно выполнить из командной строки с помощью утилиты netdom (netdom join ComputerName /Domain DomainName /UserD DomainUserUPN IPasswordD * /UserO ComputerAdminUser IPasswordO * /Reboot). Эта про­грамма позволяет осуществить операцию подключения и удаленно. Однако первоначальная установка Windows имеет политику безопасности, разрешаю­щую только локальное выполнение данной операции.

Возможность добавлять рабочие станции в домен

Начиная с Windows 2000, право добавлять рабочие станции в домен предос­тавлено обычным пользователям домена. Но с ограничением— не более де­сяти станций. В некоторых случаях желательно разрешить пользователю пре­высить этот лимит.

Обычные рекомендации для изменения такого лимита сводятся к тому, чтобы отредактировать права доступа к объекту Подразделение (Organization Unit. OU): предоставить конкретному пользователю право создания объектов типа "компьютер" и модификации его атрибутов. Операция легко выполняется настройкой соответствующих свойств безопасности для OU в оснастке управления AD (Active Directory, служба каталогов). Но это не единственная возможность и далеко не лучшая.

Если необходимо изменить лимит, установленный для всех пользователей, то
следует модифицировать атрибуты объекта службы каталогов. Количество
рабочих станций, которое пользователь может добавить в домен, определяет-
ся атрибутом ms-DS-MachineAccountQuota объекта "домен". Для его изме-
нения достаточно воспользоваться программой ADSI Edit и установить же-
лаемое значение (рис. 5.1). Установка значения этого параметра в 0 предос-
тавляет пользователям право добавлять в домен неограниченное количество
компьютеров. I

Attrbute EAa I Безопасность I

Show mar*dMofy annbUe* P Show Lionel/*№butei f Show onk» etinbute?"that.have Value*'

nwCOM PaWionSelLink msCOM-Useilnk msDS-AUowedDNSSUn> msDS-AHUtefsTrutlQuota m^SAppfaxOmned-Subotdi. msO S -8 ehavior-Veitton mS -DS CcrastencyChildCounl mS -D S -ConsistencyG wd msD S -LogonT imeSync I nt etval

rmDs-mastefedBy

miDS-MembeisFoiAzRoleBL

rti;DS;NCRepICuiiC4s

J

[Syntax

Рис. 5.1. Изменение квоты на добавление компьютеров в домен

ее целесообразно не пускать создание новых систем в домене "на само-Администратору следует создать объекты типа "компьютер" в службе огов и предоставить право подключения данных компьютеров в домен тветствующим пользователям, для чего следует в момент их создания вы-фать опцию Изменить и определить пользователя, которому будет предос-влено такое право (рис. 5.2).

Новый объект Компьютер

кг

test

Имд^омпырторд (пред-V/rxfowt 20001

(TEST

Присоеоирмъ к flof-tehy этот компьютер r*oryr польаомтвпь wm г руги Има {prbsoeerenq ил* грипп»*;

J «k.iu/6' ЛгИгсоггшд Few* Trutt 8'Jde*; у jj.vjwit.

Г" Наэмв*яъ уетиой мпкм статус пред-Wndows 2000 компьютера

■ w 4 IZw >*^ Ь» иИ»«У^^иД*Н^ Г*» ^*^я^^^тчШт*^*&*ъ£*йдЯД^Зд*' ■?г?&'£?т тмыяК Ч J Bl

Н^пв^го учвткЛ «лиси статье ремоеного «октроллера аомен*

J

Рис. 5.2. Создание объекта "компьютер" с делегированием его подключения к домену

Изменения настроек системы при подключении ее к домену

и добавлении станции в состав домена производится ряд изменений на-jBK системы.

первых, назначаются новые ресурсы для совместного использования, доставляются для совместного использования корневые каталоги локаль-дисков (под именами С$, DS и т.д.), каталог установки системы DMINS), создается совместный ресурс IPCS (используется для установки динений по именованному каналу— named pipes), PRINTS (для управле-я принтерами) и FAXS (при наличии факса с совместным доступом). Эли урсы носят название административных., поскольку они предназначены управления системами.

ные ресурсы невидимы при просмотре сети (как и все другие ресурсы со-естного использования, имя которых заканчивается знаком $). Если вы по­пытаетесь удалить их, то после перезагрузки системы они вновь восстано­вятся.

Во-вторых, в локальную группу безопасности Администраторы добавляется группа администраторов домена, а в группу локальных пользователей — группа пользователей домена. Именно потому, что администратор предпри­ятия состоит в группе локальных администраторов, он и получает право управления этим компьютером. А пользователи домена могут работать в сис­теме, поскольку они состоят в группе пользователей домена, входящей в группу пользователей этого компьютера.