Лабораторная работа №6
Присоединение компьютера к домену Active Directory
Цель работы: получить навыки создания учетных записей компьютеров, присоединения
компьютеров к домену.
Упражнение 1. Создание объектов компьютеров в консоли Active Directory пользователи и компьютеры
1. Откройте консоль Active Directory — пользователи и компьютеры.
2. В ОП Servers создайте объект для компьютера с именем SERVER02. Задайте только
имя компьютера. Не меняйте значения других параметров по умолчанию. Заметьте, что у
компьютера, как и у пользователя, два имени — указанное имя компьютера и имя в формате
пред-Windows 2000, На практике лучше, чтобы эти имена оставались одинаковыми.
Рис.6-1. Создание нового объекта компьютера
Упражнение 2. Создание учетных записей компьютеров командой DSADD
Из командной строки исполните следующую команду:
dsadd computer "cn=desktop03,ou=Servers,dc=povtas,dc=com"
Рис.6-2. Добавление учетной записи компьютера из командной строки
Упражнение 3. Создание объекта computer при помощи сценария
Процедура создания объекта computer в Active Directory мало чем отличается от
процедуры создания объекта user. В решениях с использованием командной строки и
сценария на языке VBScript обычно (но не всегда) устанавливается значение атрибута
description. Единственным обязательным атрибутом является отличительное имя компьютера,
которое в сценарии на языке VBScript используется также для заполнения атрибута
sAMAccountName, представляющего имя учетной записи SAM, — в него записывается имя
компьютера с символом «$» на конце. Заметьте, что при этом просто создается объект
computer. Однако одного только его присутствия недостаточно для того, чтобы пользователь
мог присоединить этот компьютер к домену.
Создайте при помощи сценария учетную запись компьютера desktop04 в Servers.
Set objParent = GetObject("LDAP://OU=Servers, DC=povtas, DC=com")
Set objComp = objParent.Create("computer","cn=desktop04")
objComp.Put "sAMAccountName", "desktop04$"
objComp.SetInfo
objComp.AccountDisabled = FALSE
objComp.SetInfo
Упражнение 4. Перемещение объекта компьютера
1. Откройте консоль Active Directory — пользователи и компьютеры.
2. Командой Переместить (Move) переместите компьютер desktop03 из ОП Servers в ОП
Domain Controllers.
3. Выполните аналогичные действия с компьютером desktop04, используя сценарий.
strCompDN = "cn=desktop04, OU=Servers, dc=povtas, dc=com"
strOUDN = "OU=Domain Controllers, dc=povtas, dc=com"
Set objComp = GetObject("LDAP://" & strCompDn)
Set objOU = GetObject("LDAP://" & strOUDN)
objOU.MoveHere objComp.ADsPath, objComp.Name
4. Перетащите значок server02 из контейнера Servers в Computers.
Выберите контейнер Computers и убедитесь, что server02 появился в нужном месте.
При перетаскивании объектов можно ошибиться.
ММС не обновляет содержимое окна автоматически. После таких изменений, как
перемещение объекта, необходимо обновить консоль командой Обновить (Refresh) или
клашей F5.
Откройте окно свойств для контейнера Computers. Вы увидите, что здесь нет вкладки
Групповая политика (Group Policy), в отличие от ОП, например Servers. Это одна из
причин, почему принято создавать одно или несколько дополнительных ОП для объектов
компьютеров.
5. Из командной строки исполните следующую команду:
dsmove "cn=desktop04,cn=Domain Controllers,dc=povtas,dc=com" –newparent
ou=Servers,dc=povtas,dc=com
Рис.6-3. Перемещение объекта компьютера из командной строки
Эта команда, как легко догадаться, перемещает объект компьютера обратно в ОП Servers.
6. Проверьте, что этот компьютер снова находится в ОП Servers.
Упражнение 5. Присоединение компьютера к домену
Для этого упражнения необходим второй компьютер, подключенный к server01. Кроме
того, нужно правильно сконфигурировать DNS, чтобы для server01 была создана запись
ресурса службы (SRV). На втором компьютере DNS должна быть сконфигурирована так,
чтобы он мог находить server01 как контроллер домена contoso.com.
1. Если у вас есть второй компьютер, который можно в следующем упражнении
присоединить к вашему домену, создайте для него учетную запись в ОП Desktops при
помощи консоли Active Directory — пользователи и компьютеры (Active Directory Users And
Computers) или команды DSADD. Убедитесь, что используемое вами имя совпадает с именем
этого компьютера.
2. Войдите в систему на этом компьютере. Чтобы изменять членство этого компьютера в
доменах, нужно войти в систему под учетной записью локальной группы Администраторы
(Administrators).
3. Откройте вкладку Имя компьютера (Computer Name). Для этого дважды щелкните
Система (System) в Панели управления или в папке Сетевые подключения (Network
Connections), в меню Дополнительно (Advanced) выберите Сетевая идентификация
(Network Identification).
4. Щелкните Изменить (Change).
5. Установите переключатель в положение домена (Domain) и введите DNS-имя домена:
povtas.com.
Рис.6-4. Подсоединение компьютера к домену
6. Щелкните ОК.
7. По запросу введите имя и пароль учетной записи администратора домена povtas.com.
8. Щелкните ОК.
9. Вам будет предложено перезагрузить систему. Щелкайте ОК в ответ на все сообщения
и закройте все диалоговые окна. Перезагрузите систему.
Упражнение 6. Управление учетными записями компьютеров
1. Переименуйте созданный ранее desktop04 в desktop05, пользуясь сценарием.
Программное решение не позволяет задать для подключения имя и пароль пользователя,
отличные от имени и пароля пользователя домена. По этой причине учетная запись,
задаваемая при вызове метода Rename, должна иметь на переименовываемом компьютере
права администратора (то есть быть членом группы Администраторы), а также иметь
разрешение на переименование объекта computer в Active Directory.
2. Откройте консоль Active Directory — пользователи и компьютеры.
3. Выберите ОП Security Groups и создайте глобальную группу безопасности с именем
Deployment.
3. Выберите ОП Desktops.
5. Создайте учетную запись для компьютера desktop04. На первой странице окна Новый
объект — Компьютер (New Object—Computer) щелкните Изменить (Change) ниже строки
Присоединить к домену этот компьютер могут пользователь или группа пользователей,
указанные ниже (The Following User Or Group Can Join This Computer To A Domain).
Введите Deployment в окне Выбор: «Пользователь» или «Группа» (Select User or Group),
затем щелкните ОК.
Рис.6-5. Создание нового объекта компьютера
6. Завершите создание объекта компьютера desktop04.
Упражнение 7. Поиск неактивных объектов в Active Directory с помощью командной
строки
1. Требуется найти учетные записи компьютеров, не подключавшихся к Active Directory в
течение заданного времени. Выполните это с помощью интерфейса командной строки.
Все неактивные компьютеры в указанном лесу поможет найти такой запрос:
> dsquery computer forestroot -inactive <число_недель>
Данное решение применимо только по отношению к компьютерам, работающим под
управлением операционных систем семейства Windows. Другие компьютеры, имеющие
учетные записи в Active Directory (например, работающие под управлением Unix), могут не
обновлять атрибуты, в которых хранятся время входа и пароль и на основе которых
определяется, активен ли компьютер.
Осуществите поиск компьютеров, которые были не активны в течение 2 недель.
Команду dsquery computer очень удобно использовать для поиска неактивных компьютеров, то есть таких, которые не подключались к домену в течение нескольких недель
или месяцев. Результаты выполненного с ее помощью запроса можно передать команде dsrm,
и все соответствующие объекты computer сразу же будут удалены из Active Directory. Вот как
можно удалить учетные записи всех компьютеров, которые не подключались к домену в
течение 12 и более недель:
> for /f "usebackq" %i in ('dsquery computer domainroot -inactive 12') do dsrm %i
Если нет особой необходимости, не следует удалять учетные записи компьютеров,
которые не активны менее трех месяцев. Наиболее целесообразно выполнять удаление через
год, то есть через 52 недели.
2. Скорректируйте условия запроса таким образом, чтобы поиск осуществлялся только в
контейнере Desktops.
Упражнение 8. Поиск объектов в Active Directory
1. Откройте консоль Active Directory — пользователи и компьютеры.
2. На панели инструментов щелкните значок Поиск объектов в службе каталогов Active
Directory (Find Objects in Active Directory).
3. По умолчанию выбран вариант Пользователи, контакты и группы (Users, Contacts,
and Groups). В списке Найти (Find) выберите Компьютеры (Computers), а в списке в (In)
— Целиком Active Directory (Entire Directory).
4. В поле Имя компьютера (Computer Name) введите server и щелкните Найти (Find
Now).
В наборе результатов поиска будет отображаться компьютер server01.
Рис.6-6. Поиск объекта компьютера
Упражнение 9. Изменение свойств объекта компьютера
1. Откройте окно свойств компьютера server01.
2. Перейдите на вкладку Размещение (Location).
3. Введите Headquarters Server Room (Серверная в головном офисе).
4. Перейдите на вкладку Управляется (Managed By) и щелкните кнопку Изменить
(Change).
5. Введите Hank и щелкните ОК.
6. Заметьте: отображается имя этого пользователя и его контактная информация.
Рис.6-7. Вкладка «управление» свойств объекта компьютера
7. Перейдите на вкладку Операционная система (Operating System). Заметьте:
отображается версия используемой ОС и уровень пакета обновления.
Устранение неполадок с учетной записью компьютера
Нужно устранить неполадку в реалистичной ситуации. Пользователь в домене povtas.com
жалуется: при входе в систему на компьютере desktop03 выдается сообщение об ошибке:
«Не удалось подключиться к домену, либо потому, что контроллер домена не
работает или недоступен по другой причине, либо потому, что учетная запись этого
компьютера не найдена. Повторите попытку спустя некоторое время. Если это
сообщение продолжает появляться, обратитесь за помощью к системному
администратору» («Windows can not connect to the domain, either because the domain
controller is down or otherwise unavailable, or because your computer account was not found.
Please try again later. If this message continues to appear, contact your system administrator
for assistance»).
Пользователь подождал, снова попробовал войти в систему, получил то же сообщение,
подождал еще и получил это сообщение в третий раз. На попытки входа в систему он потерял
уже 20 минут. Пользователь обращается к вам за помощью.
Упражнение 10. Устранение неполадок с учетными записями компьютеров
1. Определите наиболее вероятную причину проблемы пользователя:
а. Пользователь ввел неверное имя;
b. Пользователь ввел неверный пароль;
с. Пользователь выбрал неверный домен из списка Вход на (Log On To);
d. Безопасный канал связи компьютера с доменом разорван;
e. Реестр данного компьютера поврежден;
f. На компьютере установлена политика, запрещающая данному пользователю
интерактивный вход в систему.
2. Перечислите, какие действия из следующего списка необходимо предпринять для
устранения проблемы. Определите порядок действий. Не обязательно использовать все
перечисленные шаги.
a. Включить учетную запись этого компьютера.
b. Присоединить компьютер desktop03 к домену contoso.com.
c. Определить, существует ли данная учетная запись компьютера в Active Directory.
d. Переустановить эту учетную запись компьютера или создать ее снова.
e. Включить desktop03 в какую-либо рабочую группу.
f. Удалить учетную запись этого компьютера.
g. Отключить учетную запись этого компьютера.
Упражнение 11. Устранение проблем с учетной записью компьютера
1. В консоли Active Directory — пользователи и компьютеры (Active Directory Users And
Computers) щелкните на панели кнопку Поиск объектов в службе каталогов Active
Directory (Find Objects In Active Directory) и найдите компьютер desktop03.
2. Убедившись, что эта учетная запись компьютера существует, переустановите ее,
щелкнув desktop03 правой кнопкой и выбрав Переустановить учетную запись (Reset
Account).
3. Воспользовавшись утилитой dsmod, можно переустановить пароль компьютера. После
этого компьютер следует повторно присоединить к домену.
> dsmod computer "<ОИ_компьютера>" -reset
Кроме того, можно задать команду netdom, которая переустанавливает учетную запись
компьютера таким образом, что его не нужно повторно присоединять к домену.
Синтаксис:
netdom reset <Computer> {/d: | /domain:}<Domain> [{/s: | /server:}<Server>] [{/uo: |
/usero:}<User>
{/po:
| /passwordo}{<Password>|*}]
[{/help
| /?}]
(подробнее
http://technet.microsoft.com/en-us/library/cc788073(WS.10).aspx#BKMK_examples)
Переустановите учетную запись desktop03 еще раз, пользуясь командой netdom.
