obiecte gestionate în directorul activ

Gestionați obiecte în Active Directory

gestionarea obiectelor din Active Directory utilizând expertul. Ce câmp cu schimbarea în Active Directory - este învăluită în mister.

Structura internă Active Directory este mult mai complicat decât pare la prima vedere. Toată lumea știe că managementul de obiect în Active Directory implementat prin intermediul interfeței grafice de master sau prin intermediul unui script integrat. Există o mulțime de literatură, care descrie modul de a scrie un script care creează un cont de utilizator, precizate pas cu pas expertul. Cu toate acestea, nu am putut găsi un articol în care domeniile relație și maeștrilor de golf obiect Active Directory ar fi descris în mod clar.

Creați fiecare scenariu pentru un administrator de programator sau un sistem novice - este o luptă. Pentru a câștiga, trebuie să fii inteligent și ingeniozitate, căutare prin mai multe surse. Nu este mai ușor, așa cum se spune, a pus înregistrarea drept «i»?

Tipurile de obiecte în Active Directory

Tipul obiectului este determinată de un set de parametri care sunt stocate în Active Directory în matrice objectClass. Unele valori sunt prezente peste tot, de exemplu Top, un alt obiect strict identificate. Valorile redundanță necesare pentru domenii de compatibilitate, care sunt bazate pe Windows 2K și Windows NT.

În căutările compilării numai valori individuale objectClass matrice utilizate ca un filtru pentru identificare fără echivoc. Valorile multor elemente ale diferitelor tipuri de obiecte se intersectează.

Tabelul 1. Tipuri de relații de obiecte Active Directory și parametru valori objectClass

motor de căutare obiect ia în considerare după ce obține o idee a modelului obiect Active Directory.

Setări obiecte în Active Directory

Toți parametrii de obiecte pot fi împărțite în trei grupe:

  • a întrebat în mod explicit. Valorile acestor parametri sunt specificate în mod direct de către administratorul de sistem. Cel mai izbitor exemplu - numele obiectului.
  • definit implicit. Aceste seturi de administrator parametri pe ascuns. Acestea includ tipul și localizarea obiectului.
  • Obiecte ascunse. Aceste obiecte sunt create sau modificate în sistem. Cu ajutorul unui script sau să le stăpânească, de regulă, nu poate fi schimbat. Aceste setări includ SID și GUID timpului de creare a obiectului, obiect.

Active Directory Object Model

Descrierea este făcută în stilul Microsoft, și anume utiliza aceste informații pe un „așa cum este“ imposibil. Acesta oferă toate circuitele sub formă prescurtată teribil de catalog, fără exemple.

Figura 1. Active Directory Explorer 1.01 Aspectul programului

gestionarea obiectelor din Active Directory

Luați în considerare procesul de management al obiectelor în ceea ce privește relația dintre instrumente standard incluse cu Microsoft, și modelul de obiect LDAP.

Să luăm în considerare fiecare dintre aceste acțiuni pe exemplul expertului. Să începem cu un cont de utilizator.

Luați în considerare procesul de creare a unui cont de utilizator utilizând expertul și software-ul. O comparație a acestor două metode va permite cititorului să înțeleagă relația de câmpuri în directorul Active Directory și câmpurile din expert. Să luăm în considerare în primul rând principiile de bază ale creării unui cont.

Crearea unui cont de utilizator. principii de bază

Figura 2. Crearea unui cont de utilizator

Văzut: în cazul în care dosarul este construit, numele său este determinată de parametrul CN. Toți ceilalți parametri identificați de parametrul OU (Organizational Unit), cum ar fi OU = test, CN = Utilizator, DC = msk, DC = ru.

Expertul este format din trei părți. Să luăm în considerare fiecare dintre ele.

În timp ce crearea unui cont de utilizator pe primul pas, trebuie să specificați numele, numele de utilizator și patronimicul. Opțional, setați toți cei trei parametri este suficient pentru a seta unul dintre ele. Numele complet (câmpul 4) este format pe baza Denumire definit de primele trei câmpuri. Valoarea sa este generat automat, dar administratorul poate schimba la orice alt. Primii patru parametri pot fi modificate ulterior (vezi. Fig. 3). Pentru a face acest lucru, conectați-vă proprietățile utilizatorului în fila «General» (afișată implicit).

Figura 3. Utilizarea expertului „Creați un cont de utilizator“. etapa 1

Al doilea grup de parametri - numele de utilizator de pe rețea și un nume suplimentar pe care doriți să conectați domenii care sunt bazate pe Windows NT și Windows 2K. În Active Directory, acestea corespund setărilor userPrincipal Numele și sAMAccountName. Fiecare dintre aceste nume este format din două părți: numele de utilizator și domeniul actual. Numele domeniului curent este definit automat și nu poate fi modificat. Tabelul 2 descrie câmpurile implicate în primul pas al expertului.

Tabelul 2. Parametrii contului de utilizator. etapa 1

înregistrare nume de utilizator în rețea pentru conturile Windows NT

În a doua etapă a administratorului expertul setează parola utilizatorului, a cărui lungime este determinată de «Lungimea parolei minima» Politica de securitate domeniu, situat în «Computer Configuration -> Ferestre Settings -> Security Settings -> Politici de cont -> Politica parolă» Group Policy. Politica de securitate cont determinată.

Fig. Figura 4 arată ce parametrii Active Directory pot administra administratorul de sistem în timpul creării unui cont de utilizator.

Figura 4. Expertul de locuri de muncă „Crearea unui cont de utilizator.“ etapa 2

Acești parametri includ:

Toate aceste opțiuni, cu excepția setPassword, puteți schimba contul de utilizator fila «Cont».

După terminarea celui de al doilea pas al asistentului pentru a trece la al treilea - etapa finală, în care verificarea se efectuează înainte parametrii stabiliți (a se vedea figura 5 ..).

Figura 5. Expertul „Creați un cont de utilizator“. etapa 3

În următoarea casetă de dialog de informații:

  • locația utilizatorului în Active Directory;
  • numele afișat al utilizatorului în rețea;
  • Nume de utilizator pentru conectare în rețea;
  • setările de securitate, care sunt stabilite pe al doilea pas al asistentului.

În acest stadiu, este imposibil să se modifice în mod direct orice date. Pentru reglarea parametrilor necesari pentru a merge înapoi cu un pas sau doi pași înapoi (vezi. Fig. 5).

Crearea unui cont de utilizator. vrăjitor

Creați un cont de utilizator utilizând expertul. Datele de intrare sunt date în tabelul 3.

Tabelul 3. Datele inițiale pentru crearea unui cont de utilizator

Luați în considerare pașii pentru a crea un cont.

În caseta de dialog care rezultă, completați câmpurile conform datelor indicate în coloana „Valoare“ din tabelul 3. De notat că după umplerea primele trei câmpuri în tranziția la al patrulea, acesta este completat automat (vezi. Fig. 6).

Figura 6. Activitatea master. etapa 1

Numele de utilizator pentru înregistrarea de rețea este definită de către administratorul de sistem. Pe baza datelor introduse se creează automat numele pentru susținerea unei relații de încredere cu domeniul de Windows NT, care poate fi schimbat.

În a doua etapă, trebuie să introduceți o parolă și confirmați-o. Conform atribuirea parolei, următoarele recomandări:

  • Parolele sunt sensibile la litere;
  • utilizați numere în parole;
  • lungimea parolei recomandată - cel puțin 7 caractere;
  • într-o parolă nu utilizează simboluri «/ \ |:;, + *?<>;
  • Nu utilizați în parola numele contului de utilizator;
  • Nu folosiți parole evidente, cum ar fi 0123456789.

Monitorizarea punerii în aplicare a unora dintre aceste cerințe pot fi atribuite la politicile de grup domeniu. Setarea patru rămase de securitate rămân neschimbate (vezi. Fig. 7).

Figura 7. Activitatea master. etapa 2

În sfârșit, etapa finală este monitorizată set de parametri (vezi. Fig. 8).

Figura 8. Activitatea comandantului. etapa 3

Software-ul pentru a crea un cont de utilizator

În timp ce crearea unui cont de utilizator programatic (VBScript), la fel ca în activitatea comandantului, ar trebui să stabilească câțiva parametri. Listarea 1 arată un script care vă permite să creați un cont de utilizator. Rezultatul script-ul este identic cu master, care a fost considerată în secțiunea anterioară. Tabelul 4 prezintă parametrii și valorile acestora să fie stabilite în Active Directory.

Tabelul 4. Parametrii script pentru a crea un cont de utilizator

Calea către contul creat

Script-ul rulează următorul algoritm: definit mai întâi numele de domeniu curent cu referire la RootDSE obiect virtual și transformat prin funcția DetectDNSName într-un nume de domeniu scurt. Scriptul utilizează compus și denumirea prescurtată a domeniului. Numele de domeniu compozit este implicat în formarea modului de a crea un obiect, prescurtat - pentru a atribui un nume unui obiect compatibil cu domeniul Windows NT.

Apoi, creați un obiect cu ajutorul funcției Creare. Ca parametrii definiți de numele obiectului și tipul acestuia. Setați parametrii folosind funcția Put și le înregistrează în directorul Active Directory folosind metoda setinfo.

Listarea 1. Crearea unui cont de utilizator

set RootDSE = GetObject ( "LDAP: // RootDSE")

Set objUsers = GetObject ( "LDAP: // CN = Users," Domeniu)

Set objNewUser = objUsers.Create ( "utilizator", "cn = Ivan \, Petrov")

objNewUser.Put "sAMAccountName", "IPetrov"

objNewUser.Put "sn", "Petrov"

objNewUser.Put "givenName", "Ivan"

objNewUser.Put "Inițiale", "V"

objNewUser.Put "userPrincipalName", "IPetrov @" DetectDNSName (Domain)

„Nume DNS-domeniu Definiție

Pentru fiecare el În LDAPArray

DNSName = DNSName + dreapta (el, Len (el) -3) + ""

DetectDNSName = stânga (DNSName, Len (DNSName) -1)

În acest scenariu, există câteva caracteristici care necesită atenție:

Figura 9. VBScript. Eroarea a scenariului

  • UserPrincipalName Valoarea parametrului cuprinde sufixul, în acest caz @ msk.ru. Ele sunt actuale numele DNS-domeniu. În funcția de DetectDNSName prezent scenariu care convertește LDAP-nume în DNS-name.
  • valoarea proprietății AccountDisabled nu poate fi modificată până când obiectul nu există, cu toate acestea setinfo metoda este folosită de două ori în scenariu.

Figura 10. Setările contului de utilizator create de expert

Crearea de obiecte. Cazul generală

După o analiză detaliată a procesului de creare a unui cont de utilizator, este timpul pentru a aduce rezultatul inițial și de a crea un șablon (a se vedea. Listarea 2), permițându-vă să creați conturi de utilizator de diferite tipuri de obiecte. Pentru a crea un obiect trebuie să fie stabilit cel puțin trei opțiuni și câteva opțiuni care sunt obiecte specifice de acest tip. Parametrii obligatorii includ calea spre numele și tipul obiectului.

Listarea 2. șablon pentru a crea obiecte în Active Directory

set RootDSE = GetObject ( "LDAP: // RootDSE")

Set objs = GetOb j ECT ( "LDAP: //" + calea către directorul + " Domeniu)

Set obj = objs.Create ( "LENS TIP", "Nume obiect")

obj.Put „DOMENIUL DE TIP șirului- Active Directory“, „valoare“

obj.Put "Câmp Array în Active Directory", Array ( "valoare1", "valoare2", "valoare3" ...)

În primele două linii ale șablonului prin intermediul obiectului virtual este determinată RootDSE nume de domeniu LDAP-curent. Cu ajutorul funcției GetObject () pentru a accesa folderul în care va fi creat obiectul. În al patrulea rând folosind Create (), având doi parametri creează un obiect. Primul parametru al funcției - tipul de obiect creat, al doilea - numele său în domeniu. În continuare, funcția folosind Put () se realizează atribuirea de valori ale parametrilor caracteristici. În cele din urmă, datele de înregistrare atribuit catalogului folosind funcția setinfo ().

Notă ultimele două rânduri șablon. Purtau valori ale parametrilor de atribuire, care este un tip de date șir, și o serie de șiruri. La stabilirea valorilor matrice utilizate în mod necesar Array cuvinte cheie, prin care să declare imediat și de a determina valorile elementelor de matrice. Bazat pe șablonul creat un exemplu de creare a unui cont de grup (a se vedea. Listarea 3) și foldere (a se vedea. Listarea 4).

Listarea 3. Creați un cont grup de securitate

set RootDSE = GetObject ( "LDAP: // RootDSE")

Set objGroups = GetObject ( "LDAP: // CN = test, CN = Grupuri" Domeniu)

Set objGrous = objGroups.Create ( "grup", "cn = Imprimare Manage")

objGroup.Put "sAMAccountName", "Print Gestionați"

Listarea 4. Creați un cont dosar

set RootDSE = GetObject ( "LDAP: // RootDSE")

Set objOUs = GetObject ( "LDAP: // CN = Users," Domeniu)

Set objOU = objOUs.Create ( "organizationalUnit", "ou = Test")

Data viitoare metoda de citire a diferiților parametri ai contului de utilizator, diverse tipuri de date vor fi discutate în detaliu.