-
Время, которое администратор тратит на выполнение операций управления системой, во многом зависит от используемого инструментария. В составе Windows Server 2003 поставляется множество системных утилит и оснасток самого разного назначения.
-
Служба каталога используется клиентами для обнаружения сетевых ресурсов, точное местоположение которых зачастую неизвестно.
-
Напомним, что механизмы доступа к службе каталога реализованы только в составе операционных систем Windows 2000/XP и Windows Server 2003. Операционные системы Windows 9x/ME/NT также могут взаимодействовать со службой каталога, однако для этого необходимо установить на компьютере службу клиента Active Directory (DSClient).
-
После того как на базе некоторого сервера под управлением Windows Server 2003 создан контроллер домена, в группе Administrative Tools (Администрирование) на панели управления появляются новые инструменты (табл. 20.1). | Перечисленные в табл.
-
В системах Windows Server 2003 имеется набор эффективных утилит, позволяющих выполнять многие операции с объектами Active Directory из командной строки или из командных файлов. | Все эти утилиты используют протокол LDAP и могут работать с любыми доменами на базе Active Directory (Windows 2000 и Windows Server 2003).
-
Оснастка Active Directory Users and Computers является основным инструментом, посредством которого администратор осуществляет управление содержимым доменных разделов каталога. Вот перечень лишь основных операций: создание, модификация и удаление объектов различного типа, привязка объектов групповых политик к контейнерам Active Directory, настройка прав доступа к объектам каталога, аудит.
-
Благодаря этому режиму администратор имеет возможность сохранять предварительно созданные LDAP-запросы. Впоследствии администратор может использовать сохраненные запросы для быстрого поиска требуемых объектов.
-
В системах Windows Server 2003 оснастка Active Directory Users and Computers предоставляет пользователю возможность манипуляции множеством объектов. Другими словами, пользователь может задействовать в некоторой операции сразу несколько объектов.
-
Служба Active Directory значительно упрощает работу с общими сетевыми ресурсами по сравнению с традиционными методами просмотра доменов. Информация о любом ресурсе может быть опубликована (published) в каталоге Active Directory.
-
Оснастка Active Directory Sites and Services представляет собой основной инструмент с графическим интерфейсом, посредством которого администратор может управлять физической структурой Active Directory – подсетями, сайтами и соединениями;
-
Каждый контроллер домена под управлением Windows Server 2003, не являющийся сервером глобального каталога, может хранить информацию о составе групп безопасности с универсальной областью действия (universal group) и поддерживать ее в актуальном состоянии, периодически выполняя обновление.
-
Оснастка Active Directory Domains and Trusts позволяет осуществлять управление структурой леса домена и, в первую очередь, ориентирована на администратора уровня предприятия. Эта оснастка позволяет просмотреть лес доменов и выбрать некоторый домен для администрирования, а также управлять доверительными отношениями между доменами и лесами. | На рис.
-
После создания домена все полномочия на управление им сосредоточены в руках специальной категории пользователей – администраторов домена. Администраторы домена обладают абсолютными правами на выполнение любых операций.
-
Выполнение ряда операций в доменах на базе Active Directory требует уникальности их исполнителя. Контроллеры домена, на которых возложена обязанность выполнения указанных операций, называют исполнителями специализированных ролей – Flexible Single-Master Operations (FSMO).
-
Если в рамках леса доменов имеется несколько контроллеров домена, обязанности исполнения специализированной роли могут быть перенесены с одного контроллера домена на другой. Процедура передачи роли требует, чтобы в оперативном режиме находились контроллеры домена, выступающие в качестве текущего и будущего исполнителя.
-
Подсистема репликации службы каталога предполагает регулярную синхронизацию копий каталога. Тем не менее, администратор может инициировать принудительную репликацию изменений каталога. | Для выполнения этой операции в распоряжении администратора имеются три инструмента:
-
Стандартным инструментом управления процессом репликации изменений каталога является оснастка Active Directory Sites and Services. При помощи этой оснастки администратор может инициировать процесс репликации изменений для всех разделов каталога от отдельного партнера по репликации.
-
При помощи утилиты командной строки Replication Diagnostics Tool (RepAdmin.exe) администратор может осуществлять репликацию изменений на уровне отдельных разделов каталога. При этом администратор может включать в процесс репликации как один сервер-источник, так и все источники.
-
Оценка эффективности существующей политики безопасности системы должна базироваться на некотором аналитическом материале. В состав операционной системы Windows Server 2003 включены действенные механизмы протоколирования событий, связанных с попытками (как удачными, так и неудачными) получения доступа к ресурсам сети.
-
Для выполнения операций резервного копирования в составе операционной системы Windows Server 2003 Server поставляется утилита Backup. С ее помощью можно резервировать и восстанавливать многие системные данные, в том числе файлы базы данных Active Directory.
-
В случае выхода из строя контроллера домена, у администратора имеется две возможности восстановления его работоспособности: | установить на компьютере операционную систему заново и повысить его до контроллера домена.
-
При устранении последствий выхода контроллера домена из строя может потребоваться изменение конфигурации сервера. Возможна ситуация, когда вышедший из строя контроллер домена должен быть заменен другим.
-
Процедура авторитетного восстановления каталога предполагает откат на всех контроллерах домена изменений, касающихся определенных объектов или даже фрагментов каталога. Авторитетное восстановление может быть выполнено для объектов, расположенных в доменном разделе каталога, а также в разделе каталога, содержащем данные конфигурации.
-
В ряде ситуаций может потребоваться восстановить содержимое системного тома SYSVOL. | В качестве примера можно привести ситуацию, когда удаляется группа объектов групповой политики. Информация о групповой политике хранится как в виде объектов каталога, так и в виде файлов в составе системного тома SYSVOL.