Gestionarea obiectelor din Active Directory
Partea 3
După ce ați citit articolul, veți afla ce se întâmplă în directorul Active Directory când se modifică valoarea oricărui parametru al obiectului. Acest lucru vă va ajuta să înțelegeți modelul de obiect Active Directory; principiile stabilite în crearea sa.
Pentru a gestiona un cont de utilizator, trebuie să cunoașteți nu numai proprietățile și metodele acceptate, ci și modelul său obiect, adică Numele parametrilor, câmpurile corespunzătoare din Active Directory și tipurile de date ale acestora.
Model de obiect pentru contul de utilizator
Înțelegerea clasică descrierea modelului obiectului reprezintă o multitudine de tabele, care sunt explicate în detaliu cu privire la parametrii conținute de acestea, tipurile de date corespunzătoare, și așa mai departe. D. Mutarea departe de abordarea tradițională, și ia în considerare modelul de obiecte dintr-un alt unghi.
Hai să executăm Wizard Account Change Account. Pentru aceasta, lansați modulul snap-in Active Directory Users and Computers și faceți dublu clic pe contul de utilizator creat anterior. Ca urmare a manipulărilor efectuate, pe ecran va apărea o casetă de dialog cu mai multe file (vezi Figura 1). Fiecare dintre ele conține în medie 2-3 grupuri de parametri.
Scopul fiecărui grup de parametri este prezentat în Tabelul 1. În mod implicit, fila General este afișată.
Tabelul 1. Atribuirea filelor unui cont de utilizator
Figura 1. Proprietățile contului de utilizator
Există două moduri de utilizare a modulului snap-in Active Directory Users and Computers: modul normal și avansat. Când activați modul avansat, în proprietățile tuturor obiectelor apar alte trei file: Certificate publicate, Obiect, Securitate. În Fig. 1 prezintă filele modului avansat, respectiv în Tabelul 1 - o scurtă descriere a tuturor filelor.
Întrucât există o mulțime de file și descrierea detaliată a acestora depășește domeniul de aplicare al articolului, vom acorda atenție numai filelor utilizate frecvent: General, Cont, Profil.
Tabelul 2. Corespondența parametrilor din fila General cu câmpurile din Active Directory
Câmpul din fila General
Figura 2. Fila General
Să analizăm în detaliu fiecare parametru dat.
Numele de utilizator apare lângă pictogramă cu omul mic.
În fila General, nu îl puteți schimba. În Active Directory, acest parametru corespunde a doi parametri a căror valoare este aceeași: nume și cn. Câmpul de nume necesar pentru compatibilitatea cu domeniile Windows NT duplică valoarea parametrului cn (nume canonic).
Valoarea acestui parametru necesar constă în suma valorilor celor trei parametri: First Name, Initials și Last Name din șablon: "a b. s, unde a este numele de utilizator, b este inițial (6 caractere), c este numele de familie. Unul dintre acești trei parametri trebuie să fie specificat, dar în mod individual fiecare dintre ele este opțional.
Un parametru opțional cu o lungime de până la 6 caractere. Valoarea acestui parametru corespunde cu valoarea inițială a utilizatorului. Cel mai adesea acest parametru nu este completat.
Specifică locația fizică a utilizatorului: cameră, birou etc. Opțiunea OfficeDir din Active Directory corespunde parametrului physicalDeliveryOfficeName.
Un câmp automat populate (câmpul de poștă electronică din Active Directory) în conformitate cu formatul UPN (consultați RFC 822) când creați o cutie poștală pentru contul de utilizator. Implicit este gol.
Acest câmp specifică un link către pagina web a angajatului. În Active Directory, aceasta corespunde câmpului wWWHomePage.
Dacă angajatul are mai multe linkuri către site-uri web, acestea pot fi listate în listă făcând clic pe butonul Altă, care aparține câmpului wWWHomePage din fila General. În caseta de dialog care apare (a se vedea Figura 4), utilizați asistentul pentru a adăuga linkuri către site-uri.
Figura 4. Crearea unei liste de site-uri web
Fila Cont conține setări care descriu regulile de acces ale utilizatorului în rețea, inclusiv numele de conectare la rețea. Tabelul 3 descrie câmpurile din fila Cont și câmpurile corespunzătoare acestora în Active Directory.
Tabelul 3. Corespondența parametrilor din fila Contul cu câmpurile din Active Directory
Câmpul din fila Cont
Numele de conectare al utilizatorului
Figura 5. Fila Account
Al doilea nume definit de utilizator este numele SAM utilizat pentru compatibilitatea în domeniile Windows NT. Structura numelui SAM este după cum urmează: domain \ user, unde domeniul este un nume de domeniu abreviat, de exemplu MSK, utilizatorul este numele de utilizator. Pentru comoditatea numelui de nume, câmpul este de asemenea împărțit în două părți. Active Directory stochează numai numele de utilizator în câmpul samAccountName. Prima parte a numelui SAM este calculată în mod unic din numele de domeniu DNS.
Utilizatorul trebuie să schimbe parola la următoarea conectare
Acest parametru și data de expirare a contului sunt singurii doi parametri specificați explicit în fila Cont. Valorile rămase sunt specificate de un singur parametru, care modifică valoarea în funcție de opțiunile selectate (a se vedea Tabelul 4).
Tabelul 4. Corespondența parametrilor din fila Profil cu câmpurile din Active Directory
Câmpul din fila Profil
Toți parametrii acestui grup, cu excepția primului (vezi Figura 5), constituie valoarea parametrului userAccountControl, care se formează prin însumarea tuturor valorilor setate. Cu toate acestea, Tabelul 3 arată numai acele valori care pot fi modificate explicit utilizând fila Cont. Tabelul 5 prezintă valorile parametrului userAccountControl care nu sunt listate în Tabelul 3.
Tabelul 5. Valorile steagului parametrului userAccountControl
Rularea scriptului de autentificare
Dezactivarea unui cont de utilizator
Dosarul de domiciliu necesar
Nu este necesară parola
Utilizatorul nu poate schimba parola în mod independent
Utilizatorul poate trimite parola criptată
Tipul contului implicit care corespunde utilizatorului obișnuit
Permisiunea de a avea încredere în un cont de domeniu unui alt domeniu
Parola nu expiră
Un director de domiciliu poate fi specificat în două moduri:
- ca o cale locală, de exemplu, C: \ Storage \ Profiles \ APetrov;
- ca unitate de rețea, care va fi montat la fiecare angajat după înregistrarea în rețea.
Dacă directorul de domiciliu trebuie să fie stocat local pe stația de lucru, trebuie să specificați o cale locală care corespunde câmpului HomeDirectory din Active Directory, cu valoarea câmpului HomeDriver = "". Formatul traseului: C: \ FolderName. După ce utilizatorul se conectează la rețea, dosarul specificat va fi creat local pe computerul utilizatorului.
Pentru ca utilizatorul să monteze folderul cu directorul de acasă la unitatea de rețea cu numele specificat după ce computerul a fost înregistrat în rețea, este necesar să comutați la modul Conectare. Spre deosebire de modul anterior, trebuie să specificați doi parametri - numele discului și al listei, care corespunde câmpului textului HomeDriver și căii UNC la dosarul care urmează să fie conectat în Active Directory. Această cale corespunde cu parametrul de șir HomeDirectory. După ce este setată calea UNC, este verificată conformitatea cu formatul (\\ Server \ ShareName \ FolderName) și cu existența directorului la care este acordat accesul la rețea.
Fila Membru (vezi Figura 8) afișează grupurile în care utilizatorul curent este membru; numește grupul primar (grupul principal).
Tabelul 7. Corespondența parametrilor din fila MemberOf cu câmpurile din Active Directory
Câmpul din fila MemberOf
Figura 8. Tab
Pentru a gestiona calitatea de utilizator în grupurile de securitate Active Directory, există două butoane de sub lista grupurilor pe care utilizatorul este membru: Add and Remove. În mod implicit, utilizatorul aparține grupului de utilizatori de domenii. Acest grup nu apare în listă.
Mecanismul de control este după cum urmează. Pentru a adăuga un utilizator la un grup, faceți clic pe butonul Adăugați ... În dialogul care apare (vezi Figura 9). Căutarea obiectelor pe criterii specificate este efectuată. În Introducere nume de obiecte pentru a selecta unul dintre numele de utilizator specificat (cn sau sAMAccountName), în timp ce lista de distinguishedName valoare de câmp fix, în timp ce afișate cn acest obiect.
Figura 9. Căutarea obiectelor în Active Directory conform criteriilor specificate
Singurul grup pe care utilizatorul îl memorează după ce și-a creat contul este Utilizatorii de domenii. Valoarea parametrului este numărul de identificare al grupului. În mod prestabilit, este alocat un grup de utilizatori de domenii care are un identificator de 513.
Să luăm în considerare un exemplu. Permiteți utilizatorului Test_User să intre în grupul Test_Group. Grupul SID - S-1-5-21-42226584364-21557989-1436132917-12213. Trebuie să determinați valoarea parametrului PrimaryGroupID dacă grupul principal este grupul Test_Group. Ultimul SID este identificatorul grupului principal, astfel încât parametrul PrimaryGroupID este 12213 (a se vedea Figura 10).
Figura 10. Determinarea valorii parametrului primaryGroupID
Articole similare
Trimiteți-le prietenilor: