Управляємо об'єктами в Active Directory
частина 3
Прочитавши статтю, ви дізнаєтеся, що відбувається в каталозі Active Directory в той момент, коли змінюється значення будь-якого параметра об'єкта. Це допоможе вам зрозуміти об'єктну модель Active Directory; принципи, закладені при її створенні.
Для управління обліковим записом користувача необхідно не тільки знати підтримувані властивості і методи, але і його об'єктну модель, тобто назви параметрів, відповідні їм поля в Active Directory і їх типи даних.
Об'єктна модель облікового запису користувача
У класичному розумінні опис об'єктної моделі представляє безліч таблиць, в яких докладно розказано про що містяться в ній параметрах, відповідних їм типах даних і т. Д. Відійдемо від традиційного підходу і розглянемо об'єктну модель з іншого ракурсу.
Давайте запустимо майстер зміни облікового запису користувача. Для цього запустимо MMC-оснащення Active Directory Users and Computers і двічі кликнемо лівою кнопкою миші по раніше створеного облікового запису користувача. В результаті виконаних маніпуляцій на екрані з'явиться діалогове вікно з безліччю вкладок (див. Рис. 1). Кожна з них містить в середньому 2-3 групи параметрів.
Призначення кожної групи параметрів наведено в таблиці 1. За замовчуванням відображається вкладка General.
Таблиця 1. Призначення вкладок облікового запису користувача
Малюнок 1. Властивості облікового запису користувача
Існують два режими роботи ММС-оснащення Active Directory Users and Computers: звичайний і розширений режим. При включенні розширеного режиму у властивостях всіх об'єктів з'являються ще три вкладки: Published Certificates, Object, Security. На рис. 1 наведені вкладки розширеного режиму, в таблиці 1 відповідно - короткий опис всіх вкладок.
Оскільки вкладок дуже багато і їх доскональне опис виходить за рамки статті, приділимо увагу тільки часто використовуваним вкладках: General, Account, Profile.
Таблиця 2. Відповідність параметрів у вкладці General полям у Active Directory
Поле на вкладці General
Малюнок 2. Вкладка General
Розглянемо докладніше кожен з параметрів, що задаються.
Ім'я користувача відображається близько значка з чоловічком.
У вкладці General його неможливо змінити. У Active Directory цим параметром відповідають два параметра, значення яких збігається: name і cn. В поле name, необхідне для сумісності з доменами Windows NT, дублюється значення параметра cn (canonical name).
Значення цього обов'язкового параметра складається з суми значень трьох параметрів: First Name, Initials і Last Name за шаблоном: «a b. с », де а - ім'я користувача, b - ініціал (6 символів), c - прізвище. Один з цих трьох параметрів повинен бути заданий, проте окремо кожен з них є необов'язковим.
Необов'язковий параметр довжиною не більше 6 символів. Значенням цього параметра відповідає ініціал користувача. Найчастіше цей параметр не заповнюють.
Вказується фізичне розташування користувача: кімната, офіс і т. Д. Параметру Office в Active Directory відповідає параметр physicalDeliveryOfficeName.
Автоматично заповнюються поле (поле mail в Active Directory) відповідно до формату UPN (див. RFC 822) при створенні поштової скриньки для облікового запису користувача. За замовчуванням воно порожнє.
У цьому полі вказують посилання на веб-сторінку співробітника. У Active Directory йому відповідає поле wWWHomePage.
Якщо у співробітника кілька посилань на веб-сайти, то їх можна занести в список, натиснувши кнопку Other, що відноситься до поля wWWHomePage вкладки General. У діалоговому вікні (див. Рис. 4) з допомогою майстра додають посилання на сайти.
Малюнок 4. Створення списку веб-сайтів
У вкладці Account зосереджені настройки, що характеризують правила доступу користувача до мережі, включаючи ім'я входу в мережу. У таблиці 3 наведені описи полів вкладки Account і поля, відповідні їм в Active Directory.
Таблиця 3. Відповідність параметрів у вкладці Account полям у Active Directory
Поле на вкладці Account
User logon name
Малюнок 5. Вкладка Account
Друге задається ім'я користувача - SAM-ім'я, яке використовується для сумісності в доменах Windows NT. Структура SAM-імені наступна: domain \ user, де domain - скорочене ім'я домену, наприклад MSK, user - ім'я користувача. Для зручності призначення імені поле також розбите на дві частини. У Active Directory зберігається тільки ім'я користувача в поле samAccountName. Перша частина SAM-імені однозначно обчислюється з DNS-імені домену.
User must change password at next logon
Цей параметр і дата закінчення дії облікового запису - єдині два параметра, які задані в явному вигляді у вкладці Account. Решта значення задані одним параметром, які в залежності від обраних опцій змінюють значення (див. Таблиця 4).
Таблиця 4. Відповідність параметрів у вкладці Profile полям у Active Directory
Поле на вкладці Profile
Всі параметри даної групи, за винятком першого (див. Рис. 5), складають значення параметра userAccountControl, яке утворюється шляхом підсумовування всіх встановлених значень. Однак в таблиці 3 наведені тільки ті значення, які можна змінити явним чином за допомогою вкладки Account. У таблиці 5 наведені значення параметра userAccountControl, що не увійшли в таблицю 3.
Таблиця 5. флаговая значення параметра userAccountControl
Запуск сценарію входу
Відключення облікового запису користувача
Потрібно домашня папка
Пароль не потрібний
Користувач не може змінити пароль самостійно
Користувач може відправити зашифрований пароль
Тип облікового запису, що використовується за умовчанням, що відповідає звичайному користувачеві
Дозвіл довіряти обліковий запис домена іншому домену
Термін дії встановленого пароля чи не закінчується
Домашній каталог може бути заданий двома способами:
- як локальний шлях, наприклад, C: \ Storage \ Profiles \ APetrov;
- як мережевий диск, який буде монтуватися кожному співробітнику після реєстрації в мережі.
Якщо домашній каталог повинен зберігатися локально на робочій станції, то необхідно вказати локальний шлях, яким в Active Directory відповідає поле HomeDirectory, при цьому значення поля HomeDriver = "". Формат шляху: C: \ FolderName. Після реєстрації користувача в мережі зазначена папка буде створена локально на комп'ютері користувача.
Для того щоб користувачеві після реєстрації комп'ютера в мережі монтувалася папка з домашнім каталогом на мережевий диск із зазначеним ім'ям, необхідно перейти в режим Connect. На відміну від попереднього режиму необхідно вказати два параметра - ім'я диска і списку, якому в Active Directory відповідає текстове поле HomeDriver і UNC-шлях до підключається папці. Цим шляхом відповідає строковий параметр HomeDirectory. Після того як заданий UNC-шлях, здійснюється його перевірка як на відповідність формату (\\ Server \ ShareName \ FolderName), так і на існування папки, до якої надано мережевий доступ.
У вкладці MemberOf (див. Рис. 8) формується список груп, членом яких є поточний користувач; призначити Primary Group (основна група).
Таблиця 7. Відповідності параметрів у вкладці MemberOf полям у Active Directory
Поле на вкладці MemberOf
Малюнок 8. Вкладка MemberOf
Для управління членством користувача в групах безпеки Active Directory використовуються дві кнопки, що знаходяться під списком груп, членами якої є користувач: Add (Додати) і Remove (Видалити). За замовчуванням користувач входить в групу Domain Users. Ця група не відображається в списку.
Механізм управління наступний. Для додавання користувача в будь-яку групу необхідно натиснути кнопку Add ... У діалоговому вікні (див. Рис. 9). здійснюється пошук об'єктів за заданими критеріями. В поле Enter the object names to select вказується одне з імен користувача (cn або samAccountName), при цьому в списку фіксується значення поля distinguishedName, в той час як відображається cn цього об'єкта.
Малюнок 9. Пошук об'єктів в Active Directory за заданим критерієм
Єдина група, членом якої є користувач після створення його облікового запису, - Domain Users. Значення параметра - ідентифікаційний номер групи. За замовчуванням призначена група Domain Users, що має ідентифікатор 513.
Розглянемо приклад. Нехай користувач Test_User входить в групу Test_Group. SID групи - S-1-5-21-42226584364-21557989-1436132917-12213. Необхідно визначити значення параметра PrimaryGroupID, якщо primary group - група Test_Group. Останній розділ SID є ідентифікатором основної групи, тому параметр PrimaryGroupID = 12213 (див. Рис. 10).
Малюнок 10. Визначення значення параметра primaryGroupID