Примечание )

Аналогично через escape-последовательность записываются двоичные данные с разбиением по два байта.

•пределенную сложность при первых обращениях к операциям поиска вы­зывает знание необходимого атрибута, который должен быть использован в операции. Можно порекомендовать просмотреть все атрибуты объекта этого же типа, выбрать нужное свойство и использовать его в запросе. Это можно сделать и в самой программе ldp.exe, если включить отображение вывода в результате поиска всех атрибутов. Для этого следует открыть окно поиска, нажать кнопку Option и в строку перечня атрибутов ввести звездочку (*).

Примечание

)

Чтобы вернуться к выводу сокращенного списка атрибутов, следует в данной [ строке перечислить (через точку с запятой) названия тех атрибутов, которые I должны отображаться на экране по результатам поиска.

Покажем на небольшом примере, как можно быстро найти пользователя по второму почтовому адресу.

Дополнительные адреса электронной почты, которые присвоены пользовате­лю, перечисляются в атрибуте proxyaddresses. Дополним перечень отобра­жаемых атрибутов этим значением (допишем его в строку Attributes после точки с запятой) и снимем флажок в параметре Attributes, чтобы программа поиска вывела на экран значения атрибутов. Установим в окне настройки фильтра поиска в качестве начальной точки имя нашего домена, а критерием поиска выберем следующую строку:

U((objectclass»user)(proxyaddresses=*адрес*)))

Она означает, что мы хотим искать только пользователей, у которых один из адресов электронной почты содержит символы адрес (в любом месте адреса). Выберем зону поиска по всей базе (SubTree). Выполнив поиск, мы получим на экране необходимые сведения.

Команда Idifde |

Большая часть системных администраторов предпочитает использовать для
конфигурирования серверов текстовые файлы, поскольку с ними удобнее ра-
ботать, чем с двоичной информацией. Для каталогов существует стандарт
LDIF¹, который определяет правила представления данных каталога в тексто-
вом файле. 1

LDIF-файл представляет собой текстовые строки, в которых приведены атри-
буты объектов, их значения и директивы, описывающие способы обработки
этой информации. В Windows имеется утилита idifde, которая выполняет
такое преобразование данных из службы каталогов, используемой в Windows,
в текст и обратно. Ключи утилиты позволяют уточнить точку подключения,
глубину выборки, указать фильтры операции и т. п. I

На эту утилиту обычно обращается мало внимания, хотя она может сущест­венно упростить многие административные задачи.

Предположим, что вам необходимо откорректировать параметры пользова­тельских учетных записей, например, указать для всех работников некоторо­го подразделения в свойствах учетных записей название их отдела. Выполне­ние операции "в лоб" — последовательное открытие учетных записей и вставка нужного описания в соответствующее поле— весьма трудоемко и нерационально при значительном числе сотрудников.

С помощью же данной утилиты можно выполнить экспорт в текстовый файл параметров учетных записей пользователей только для заданного подразде­ления (установив фильтр по данному OU), после чего с помощью обычного текстового редактора одной операцией поиска и замены откорректировать значения нужных атрибутов. В завершение достаточно выполнить импорт полученного файла. В результате атрибуты для всех записей будут откоррек­тированы практически за несколько шагов.

бует от администратора знания сценариев и может быть выполнена буквально I в течение нескольких минут.

Выше мы приводили пример, как с помощью команды dsquery получить спи­сок компьютеров, длительное время не работавших в составе сети. Приведем второй способ, как можно получить в файл такой список с помощью команды Bfde:

ldifde -f <имя_файла>. txt -n -d "&с=<имя_домена>,dc=ru" -r •(&(objectcategory=computer)(I(lastlogon<=127296891259257277)(!lastlogon=*)))" -p SubTree -1 lastlogon

В фильтре использовано представление даты в машинном формате. Такие значения легко можно получить при помощи простых операций, например:

Dim Timet As System.DateTime = System. DateTime. Now О.AddMonths[-2)
Dim FileTimel = Timel.ToFileTime _t

Переменная FileTimel будет иметь значение, соответствующее дате двухме­сячной давности¹. Фильтр также выводит имена компьютеров, для которых отсутствует значение параметра времени входа в систему.

Представленный пример несколько искусственен, поскольку результат может быть получен более простым способом. Но привели его именно для того, чтобы проиллюстрировать существование различных возможных вариантов действий администраторов.

Делегирование прав

Традиционно системный администратор объединял в себе все текущие функ­ции управления доменом. Он создавал и удалял пользователей, добавлял компьютеры в домен, следил за членством в группах и т. п. Большинство та­ких рутинных операций без ущерба для функционирования сети может быть переложено на других сотрудников. Например, новые учетные записи поль­зователей в соответствующем подразделении могут создаваться сотрудником кадровой службы при оформлении приема на работу; компьютеры в домен добавляться сотрудниками технической службы сервиса; разработка группо­вых политик, предусматривающих установку специализированных программ, вестись техническими специалистами соответствующего отдела; добавление пользователей в группы безопасности — сотрудниками подразделений безо­пасности и т. п. При этом за администратором предприятия сохранились бы все руководящие функции для возможных экстренных вмешательств, но "ос­вободились руки" для подготовки и реализации стратегических решений.

Необходимо учитывать, что компьютеры, которые не перезагружались в течение этого периода, также будут иметь "старые" значения времени входа в систему.

Для того чтобы осуществить на практике такую передачу прав, которую при­нято называть делегированием, администратору достаточно изменить разре­шения безопасности на соответствующий контейнер. Так, если необходимо делегировать кому-либо право создания пользователей, то этому сотруднику следует дать право на создание объекта типа "пользователь" в заданном под­разделении. При этом перечень возможных прав доступа для контейнера яв­ляется настолько подробным, что администратор без труда может настроить объем делегирования (например, дать право добавления в домен компьюте­ров, но лишить возможности изменения или удаления таких объектов). 1

Делегирование прав создания учетных записей позволит более тесно "свя­зать" кадровые записи и записи служб каталогов. Учетная запись в этом слу­чае может иметь только минимальные начальные права для входа в систему. Предоставление дальнейших прав по доступу к ресурсам (изменение членст­ва в группах) могут осуществлять менеджеры соответствующих групп. j

Большинство утилит графического управления объектами службы каталогов
содержат в меню команду делегирования прав. Эта команда вызывает мастер,
который меняет список прав доступа (рис. 5.7). Запуск данного мастера явля-
ется самым простым способом делегирования прав на объекты. Но при этом
администратору следует учитывать два момента. 1

Мастер делегировании упр&олен

им

Делегируемые задачи

Можно выбрать otfbWbie эдачи или настроить особые

■ vT.V!!!"'*T-i"^;;T"''.

-

чНумц I Д*лс*> I Отмена

Рис. 5.7. Мастер операций предлагает определить объем делегирования прав

Во-первых, всегда можно более точно откорректировать права доступа, если обратиться к редактированию параметров безопасности контейнера па-прямик.

Во-вторых, хотя мастер делегирования прав присутствует в системе, но мас­тера отзыва прав не предусмотрено. Иными словами, если, например, необ­ходимо передать право управления от одного сотрудника другому, то адми­нистратору придется вначале вручную исключить первого из списка доступа.

Просмотр и восстановление удаленных объектов каталога

Удаленные объекты каталога (например, учетная запись пользователя или компьютера) в домене Windows сначала помещаются в специальный контей­нер (аналог Корзины), в котором они сохраняются по умолчанию 60 суток. В течение этого времени данные объекты можно восстановить.

Этот интервал можно изменить, если ввести, например с помощью ADSI Edit, новое значение атрибута tombstoneLifetime для объекта cn=Directory I Service,cn=Windows NT,cn=Services, cn^Configuration,<DN_KopHH_jieca>.

Администратор может использовать и утилиту для автоматического восста­новления удаленных объектов каталога (см. http://www.sysinternaIs.com /Utilities/AdRestore.html), но приведенный ниже пример является хорошей практикой непосредственной работы с объектами каталога.

Для просмотра и восстановления удаленных объектов необходимо использо­вать утилиту ldp из состава Support Tools. После ее запуска нужно подклю­читься к контроллеру домена (операция Connect) и "предъявить" свои учет­ные данные (операция Bind), Если теперь отобразить дерево каталога домена, то в окне программы вы увидите папку Deleted Objects с удаленными объек-вми.

Удобнее отобразить удаленные объекты с помощью операций поиска утили­ты ldp. Для этого нужно выполнить команду меню Browse) Search. После появления окна опций поиска необходимо правильно настроить параметры

операции:

0 встрокеBaseDnввестиcn=Deietedobjects,<о^имя_домена>, например:

1 cn=Deleted Objects,dc=ask,dc=ru;

3 в строке Filter ограничить область поиска только удаленными объектами,

I Введя (isDeleted=TRUE);

□ параметр Scope установить в значение One Level;

□ далее нажать кнопку Options и ввести следующие параметры:

• Tile limit. Time out и т. п. — установить в соответствии с предполагае-I мым объемом поиска и временными затратами;

• в строке Attributes через точку с запятой перечислить названия атри тов объектов, которые должны быть отражены в результате поиска, н

пример: name;lastKnownParent;

• Search Call Туре установить в Extended;

□ нажать кнопку Controls и в списке Load Predefined выбрать значен Return Deleted Objects; если поиск производится на Windows 2000, то в этом случае ввести в строку Object Identifier следующие символы 1.2.840.113556.1.4.417 и нажать кнопку Check In. В обоих случаях у занная последовательность цифр должна появиться в окне Active Con rols;

□ закрыть два окна настройки параметров, вернуться к окну поиска и в полнить операцию Run.

В результате программа покажет список удаленных объектов, соответству щих заданным вами условиям поиска.

На рис. 5.8 приведен результат поиска удаленных пользователей домена, имена которых начинаются с символов test (при удалении к имени добавля­ется код, поэтому поиск следует выполнять по первым символам с добавлю нием маски). Был применен фильтр поиска (&(isDeieted=TRUE) (cn=test*) В результате программа нашла три таких объекта.

к мК«чг»м ПС *^wfcjlf -л

.Cfc»..."l

<)»■ tewnft wrt "wDtinrd Ob]cat.4t' ■•k.dcni**. I. *ll|t«0*>ct«d ' r»Ul|f""ie)f J".

imihl e. •vtCuif. dmct-ti «. o.a«i_e|

braull<0) [.. U| J He** Л DM1

»0»: CN.lt 5Г»;П»nnM«l.173e»»R»*.'i.J- ««И1.41 ft ni;be01tWcl.(J*«l>«lrt.d 0b|ecl«J)C>»»l.pOni

1> Qb|Rdf)■•«: lop: p«iian; wgenfitHunclfaitpn: «••>; cwnpatat:

1> «lfSl»lU^bl№l 1/3cn«U/fib ««-B4I0 il/6cU',e1IOct;

l>la«t*ntrlypc:(K4>(lt WTOTHj:

Tl-x;

i.i"-.

1> wSNOe«tt4 M4,US: l> I.D'Irkd TRUf; 1>и&мСьа»д«<гГ?М.*8(:

I> мт: US!StTWT.DEI ''>W2b/t* 4MtWlD#i;*tftS«Wt1:

Г ~ю*

Рис. 5.8. Поиск удаленных объектов службы каталога

Восстановление удаленных объектов имеет некоторые особенности. Чтоб! восстановить объект, нужно выполнить следующие действия:

□ удалить атрибут isDeleted для данного объекта;

□ заменить значение атрибута distinguishedName на то, куда будет восс новлен объект (обычно выбирается прежнее расположение, которое мож­но уточнить по значению параметра lastKnownParent);

П установить обязательные атрибуты (если таковые требуются для данного типа объекта).

Все эти действия должны быть выполнены за одну операцию. Если описать кратко операцию восстановления по шагам, то следует:

1. Подключиться к контроллеру домена, ввести свои учетные данные.

2. Добавить контроль Return Deleted Objects (или 1.2.840.113556.1.4.417 I для Windows 2000) в меню Options | Control.

3. Найти тот объект, который предполагается восстановить (так, как описано I выше), и запомнить его DN.

4. Выполнить команду Browse | Modify и указать в качестве DN соответст-т вуюшее значение восстанавливаемого объекта.

5. В строке Attribute указать distinguishedName, в строке Value ввести но-I вое значение (то, которое должно быть у восстановленного объекта), вы-I брать операцию Replace и нажать кнопку Enter.

6. Указать в качестве Attribute значение isDeleted, очистить строку Value,
в качестве операции указать Delete и нажать кнопку Enter.

7. После этого следует добавить обязательные атрибуты, если они необхо-I димы для восстанавливаемого объекта.

8. Отметить флажки Synchronous и Extended.

9. Нажать на кнопку Run (рис. 5.9).

Modify

Qrr |CN-(e5t\uAOEL35b57c32-a4a8-4b2f-b71t-5c-

\ (Vttribulft' lisDeleted

I Г Add:f Oeleic Г Replace jnsgrt fЦ ■

Результаты операции можно будет увидеть в правой части окна утилиты ldp,
предназначенной для вывода сообщений. i

После восстановления объектов, имеющих идентификаторы безопасности (SID), необходимо снова включить их в те группы безопасности, в которых они были до удаления. Эта операция необходима, т. к. процесс удаления очищает соответствующие значения.

При восстановлении пользователя необходимо разблокировать его и восста-
новить в тех группах безопасности, членом которых он был. Если пользова-
тель имел ящик на почтовом сервере Exchange, то рекомендуется очистить
эти атрибуты его учетной записи и осуществить переподключение с по-
мощью оснастки управления MS Exchange. I

По умолчанию правом восстановления объектов каталога обладают админи­страторы. Это право также можно делегировать другим пользователям, но данная операция нецелесообразна по соображениям безопасности (имея воз­можность восстановить пользователей, злоумышленник может получ доступ от имени такого восстановленного пользователя к ресурсам органи зации).

Распределенная файловая структура

Распределенная файловая структура (Distributed File System, DFS) предост ляет администратору возможность создавать структуру данных, которые привязаны к какому-либо компьютеру сети. Например, в домене можно с дать одну точку подключения к файлам, физически находящимся на разл ных компьютерах. Иными словами, пользователь подключается к совмес используемому ресурсу DFS, указывая не сетевой адрес конкретного комп ютсра, а доменный путь. В результате администратор получает возможн в процессе работы прозрачно для пользователей перемещать совместно пользуемые файловые ресурсы с одного компьютера на другой, а пользова­тель по-прежнему будет обращаться к файлам по старому пути, который он однажды запомнил и который сохранен в параметрах установки программ.

Вторая возможность DFS — это автоматическое поддержание хранения ко­пий данных на нескольких компьютерах. Например, можно создать копию папки с файловыми ресурсами центрального офиса в удаленном филиале, и система самостоятельно будет синхронизировать изменения, независимо вно­симые пользователями в каждом офисе. Причем подключения пользователей будут автоматически осуществляться к тому компьютеру, данные которого расположены "ближе" к пользователю.

Создание DFS

>FS представляет собой коллекцию ссылок на совместно используемые ре-:ы, находящиеся на различных компьютерах сети, доступ к которым про­водится через единую точку входа, не привязанную к конкретному компью-:ру. Структура DFS напоминает дерево каталогов: на самом "верху" распо-»жена одна точка входа, называемая корнем DFS, к которой подключены юженные папки.

рень DFS может быть создан на любом сервере Windows 200.г, причем на овых серверах возможно создание только одного корня DFS, тогда как в мене может поддерживаться несколько корней DFS (разными контролле-и).

качестве корня DFS указывается любая совместно используемая папка мастер создания DFS позволяет создать такую папку в процессе настройки), комендуется не хранить в этой папке никаких файлов, а использовать ее ько для создания ссылок на сетевые ресурсы.

осле создания корня DFS необходимо начать "собирать" структуру папок спределенной файловой системы. Для этого с помощью оснастки управле-я DFS следует добавить ссылки на уже существующие совместно исполь-мые ресурсы сети. Причем возможно указать несколько ссылок на анало-чные ресурсы на разных компьютерах. Операция обычно не представляет икакой сложности.

Если администратору по каким-либо причинам необходимо переместить ре­сурс в структуре DFS на другой сервер, достаточно просто скопировать фай­лы по новому пути и заменить ссылку со старой сетевой папки на новую. При этом для клиентов все используемые ими сетевые пути (если, конечно, они казывали на структуру DFS) останутся неизменными.