Управлявани обекти в активна директория
Управление на обекти в Active Directory
управление на обекти в Active Directory с помощта на съветника. Какво поле с промяната в Active Directory - е обвит в мистерия.
Вътрешна структура на Active Directory Directory е много по-сложен, отколкото изглежда на пръв поглед. Всеки знае, че ръководството на обект в Active Directory осъществява чрез GUI интегрирани майстор или чрез скрипт. Има много литература, която описва как да се напише скрипт, който създава потребителски акаунт, разписани стъпка по стъпка съветника. Въпреки това, аз не можах да намеря една статия, в която полета на връзката и голф майстори Active Directory обект ще бъде ясно описана.
Създаване на всеки сценарий за начинаещ програмист или системен администратор - това е битка. За да я спечели, трябва да бъде умен и изобретателност, търсене през много източници. Не е ли по-лесно, както се казва, постави рекорд направо «аз»?
Видовете обекти в Active Directory
Типът на обекта се определя от набор от параметри, които се съхраняват в Active Directory в масива objectClass. Някои ценности присъстват навсякъде, например Top, други строго определени обект. необходими съкращения стойности за домейни за съвместимост, които са базирани на Windows 2K и Windows NT.
При съставянето на търсенията само отделни стойности objectClass масив се използва като филтър за недвусмислената му идентификация. Стойностите на много елементи от различни видове обекти пресичат.
Таблица 1. видове връзката на Directory обекти Активни и ценности objectClass параметър
Обект търсачката помисли, след като получите представа за модела на Active Directory обект.
Настройки обекти в Active Directory
Всички параметри на обекти могат да се разделят на три групи:
- Изрично попитах. Стойностите на тези параметри са пряко определени от системния администратор. Най-ярък пример - името на обекта.
- дефинирани по подразбиране. Тези параметри администратор определя тайно. Те включват вида и местоположението на обекта.
- Скрити обекти. Тези обекти са създадени или променени в системата. С помощта на скрипт, или да ги овладее, като правило, не може да се променя. Тези настройки включват СИД и GUID на времето за създаване на обект, предмет.
Active Directory обектния модел
Описани в стила на Microsoft, т.е. Използваме тази информация, на база "както е" невъзможно. Тя осигурява всички вериги в каталога ужасно съкратена форма, без примери.
Фигура 1. Active Directory Explorer 1.01 Външен вид на програмата
управление на обекти в Active Directory
Помислете за процеса на управление на обекта по отношение на връзката на стандартни инструменти, включен в Microsoft и LDAP обектния модел.
Нека разгледаме всеки един от тези действия, по примера на съветника. Да започнем с един потребителски акаунт.
Да разгледаме процеса на създаване на потребителски акаунт с помощта на съветника и софтуера. Сравнението на тези два метода ще даде възможност на читателя да се разбере връзката на полета в директория Active Directory и ниви в съветника. Нека първо разгледаме основните принципи на създаване на профил.
Създаване на потребителски акаунт. основни принципи
Фигура 2. Създаване на потребителски акаунт
Активен: ако папката е построен, името му се определя от параметъра на КН. Всички други параметри, определени от параметъра ОУ (Организационна единица), като OU = Тест, CN = Потребителят, DC = MSK, DC = RU.
Съветникът се състои от три части. Нека разгледаме всеки един от тях.
При създаването на профил на потребител на първото стъпало, трябва да посочите име, потребителско име и фамилното име на. По избор, задайте всички три параметъра е достатъчно да се определи един от тях. Пълно име (поле 4) се формира на база име дефинирана от първите три полета. Неговата стойност се генерира автоматично, но администраторът да го смените с друг. Първите четири параметри могат да бъдат променени по-късно (вж. Фиг. 3). За да направите това, влезте в имоти на потребителя в раздела «генерал» (показва по подразбиране).
Фигура 3. С помощта на съветника "Създаване на потребителски акаунт". етап 1
Втората група от параметри - потребителско име в мрежата и допълнителна име, което искате да свържете домейни, които са базирани на Windows NT и Windows 2K. В Active Directory, те да отговарят на параметрите userPrincipal Име и sAMAccountname. Всеки един от тези имена се състои от две части: потребителското име и текущия домейн. Името на текущия домейн се определя автоматично и не може да се променя. Таблица 2 описва областите, включени в първата стъпка от съветника.
Таблица 2. Параметри на потребителския акаунт. етап 1
Регистрация на потребител име на мрежата за Windows NT сметки
Във втория етап на администратора на съветника определя паролата на потребителя, дължината на които се определя от «Минимална Дължина на паролата» политиката за сигурност на домейн, който се намира в «Компютърна конфигурация -> Windows Settings -> Настройки за сигурност -> Политики на профила -> Политика парола» Група моментна политика. Решен политика на сигурност сметка.
Фиг. Фигура 4 показва какви са параметрите на Active Directory могат да управляват системния администратор по време на създаването на потребителски акаунт.
Фигура 4. Работа Wizard "Създаване на потребителски акаунт." стъпка 2
Тези параметри включват:
Всички тези опции с изключение setPassword, можете да промените раздела «профил» потребителски акаунт.
След завършване на втория етап на инструкциите, за да премине към третия - последния етап, в който се извършва проверка преди зададените параметри (вижте Фигура 5 ..).
Фигура 5. Съветникът "Създаване на потребителски акаунт". стъпка 3
В следващия диалогов прозорец информация:
- местоположението на потребителя в Active Directory;
- показвано име на потребителя в мрежата;
- Прякор за вход в мрежата;
- настройките за сигурност, които са изложени на втория етап на съветника.
На този етап не е възможно да променят директно никакви данни. За настройката на параметрите, необходими за да се върнете една стъпка или две крачки назад (вж. Фиг. 5).
Създаване на потребителски акаунт. магьосник
Създаване на потребителски акаунт с помощта на съветника. Входящи данни са дадени в таблица 3.
Таблица 3. Първичните данни за създаване на потребителски акаунт
Помислете за стъпките за създаване на профил.
В отворилия се диалогов прозорец, попълнете полетата по данни, дадени в колона "стойността" на таблица 3. Имайте предвид, че след попълване на първите три полета в прехода към четвъртия, то се попълва автоматично (вж. Фиг. 6).
Фигура 6. Работата на капитана. етап 1
Потребителското име за регистрация на мрежата се определя от системния администратор. Въз основа на данните, вписани автоматично се създава име за подкрепата на отношения на доверие с домейна на Windows NT, което може да бъде променено.
Във втория етап, ще трябва да въведете парола и я потвърдете. Според заданието за парола, следните препоръки:
- Паролите са чувствителни;
- използвате номера в пароли;
- знаци поне 7 - Препоръчителна дължина на паролата;
- в парола не се използват символи «/ \ |:;, + *?<>;
- Да не се използва паролата на потребителското име сметка;
- Да не се използва очевидни пароли, например, 0123456789.
Мониторинг на изпълнението на някои от тези изисквания могат да бъдат причислени към политиките за домейн на групата. Останалите Настройката на четири сигурност остават непроменени (вж. фиг. 7).
Фигура 7. Работата на капитана. стъпка 2
Най-накрая, последната фаза се контролира набор от параметри (вж. Фиг. 8).
Фигура 8. Работата на капитана. стъпка 3
Софтуер за създаване на потребителски акаунт
При създаването на профил на потребител програмно (VBScript), както и в работата на капитана, следва да се изисква да се определят няколко параметри. Обява 1 показва скрипт, който ви позволява да създадете потребителски акаунт. В резултат на сценария е идентичен с капитана, който се разглежда в предишния раздел. Таблица 4 показва параметрите и техните стойности да бъдат заложени в Active Directory.
Таблица 4. Параметри скрипт за създаване на потребителски акаунт
Пътят до създаден акаунт
Сценарият се изпълнява следния алгоритъм: първо дефинира текущата името на домейна, като се позовават на виртуален обект RootDSE и трансформиран от функция DetectDNSName в кратко име на домейн. Сценарият използва съединението и съкратеното име на домейна. Composite име на домейн участва във формирането на начина, по който да се създаде обект, съкратено - за да зададете име на обект съвместима с Windows NT домейн.
След това се създаде обект с помощта на функцията Създаване. Както нейните параметри, определени от името на обекта и неговия вид. Задайте параметри с помощта на функцията на пут и ги записва в директорията на Active Directory се използва метод SetInfo.
Обява 1. Създаване на потребителски акаунт
избран RootDSE = GetObject ( "LDAP: // RootDSE")
Задайте objUsers = GetObject ( "LDAP: // CN = Потребители" Domain)
Задайте objNewUser = objUsers.Create ( "потребител", "CN = Иван \, Петров")
objNewUser.Put "sAMAccountName", "IPetrov"
objNewUser.Put "SN", "Петров"
objNewUser.Put "GivenName", "Иван"
objNewUser.Put "Инициали", "V"
objNewUser.Put "userPrincipalName", "IPetrov @" DetectDNSName (домейн)
"Име Definition DNS-домейн
За Всеки ел В LDAPArray
DNSName = DNSName + полето (EL, Len (EL) -3) + "."
DetectDNSName = ляво (DNSName, Len (DNSName) -1)
В този сценарий, има няколко функции, които се нуждаят от внимание:
Фигура 9. VBScript. Грешката на скрипта
- UserPrincipalName стойност параметър съдържа наставка, в този случай @ msk.ru. Те са името на текущия DNS-домейн. В функцията настоящия сценарий DetectDNSName който преобразува LDAP-име в името на DNS на.
- AccountDisabled стойността на имота не може да се промени, докато обектът не съществува, обаче SetInfo метод се използва два пъти в сценария.
Фигура 10. настройките на профила на потребителя, създадени от помощника
Създаване на обекти. В общия случай
След подробно разглеждане на процеса на създаване на потребителски акаунт, че е време да донесе на оригиналния резултат и създаване на шаблон (вж. Обява 2), което ви позволява да създавате потребителски профили за различни видове обекти. За да се създаде обект трябва да се настрои най-малко три варианта и няколко опции, които са специфични обекти от този тип. Задължителни параметри включват път към името на обекта и вид.
Обява 2. Шаблон за създаване на обекти в Active Directory
избран RootDSE = GetObject ( "LDAP: // RootDSE")
Задайте objs = GetOb й и др ( "LDAP: //" + пътя до папката + " Domain)
Задайте OBJ = objs.Create ( "тип лещи", "Име")
obj.Put "ОБЛАСТ тип низ активната директория", "VALUE"
obj.Put "Поле Array в Active Directory", Array ( "value1", "value2", "VALUE3" ...)
В първите два реда на шаблона чрез виртуален обект се определя RootDSE име LDAP ток домейн. Използвайки функцията GetObject (), за да получите достъп до папката, в която ще бъде създадена на обекта. В четвъртия ред с помощта на Create (), като два параметъра се създаде обект. Първият параметър на функцията - типа на обекта, се създава, а вторият - неговото име в домейна. След това, използвайки Поставете () функция се извършва определяне стойности на характерните параметри. И накрая, за запис на данни, възложени на каталога с помощта на функцията SetInfo ().
Имайте предвид последните два шаблона линии. Те извършва стойности присвояване параметър, който е тип поредица данни и поредица от низове. При определяне на стойностите на масива непременно използва Array дума, с което незабавно да обяви и определяне на стойностите на елементите на масив. Въз основа на шаблона създаден пример за създаване на група профил (вж. Обявата 3) и папки (вж. Обявата 4).
Обява 3. Създаване на група за сигурност сметка
избран RootDSE = GetObject ( "LDAP: // RootDSE")
Задайте objGroups = GetObject ( "LDAP: // CN = Тест, КН = Групи" Domain)
Задайте objGrous = objGroups.Create ( "група", "CN = Print Управление")
objGroup.Put "sAMAccountName", "Печат Управление"
Обява 4. Създайте си профил в папка
избран RootDSE = GetObject ( "LDAP: // RootDSE")
Задайте objOUs = GetObject ( "LDAP: // CN = Потребители" Domain)
Задайте objOU = objOUs.Create ( "organizationalUnit", "ОУ = Тест")
Следващия път, когато методът на четене на различните параметри на потребителски акаунт, различни типове данни ще бъдат обсъдени по-подробно.