Win2kServ - Дорога в AD

Frozen (frozen@real.xakep.ru)

Спецвыпуск Xakep, номер #033, стр. 033-022-5

Посидев в ожидании некоторое время, следя за процессом создания каталога, ты увидишь окно, возвещающее об окончании установки, со списком всего сделанного и всех проблем, которые возникли, тебе же осталось только нажать кнопочку "готово". После успешной установки, пока не забыли, советую тебе сделать один немаловажный шаг - авторизировать DHCP в AD, иначе потом могут возникнуть проблемы с распределением адресов (это сделано для повышения безопасности, чтобы всякие левые серваки не мешали работе твоей сети). Делается это очень просто - в консоли DHCP делаешь ПКМ (правый клик мышкой) на сервере и выбираешь "Авторизировать...", после чего добавь адрес своего сервера в список.

Ну, все, самое сложное закончилось, и теперь тебя ждет увлекательный процесс администрирования, поэтому соберись с мыслями, составь в голове план нужных настроек, и понеслась...

Админим...

Сначала определись с типом ОСей компьютеров, которые будут включены в твой новый домен, потому что изначально сервер работает в так называемом "Смешанном режиме", когда каталогом могут пользоваться как клиенты WinNT4/9x, так и Win2000/XP. В этом случае существует ряд ограничений, связанных с безопасностью и с некоторыми другими операциями (например, нельзя создавать в домене группы типа "Универсальная"). Так что за работу со старыми операционками приходится расплачиваться. А если же все нужные компы в сети работают под 2k/XP, то советую сразу переключить сервер в основной режим (но будь осторожен - обратное преобразование невозможно!), для чего нужно запустить консоль управления AD (Администрирование -> Active Directory - пользователи и компьютеры либо из командной строки - dsa.msc), а там заходишь в свойства домена, и сразу все станет ясно.

Теперь давай разберемся с тем, как добавить (настроить) пользователей/группы/компы/ OU. Надеюсь, ты еще не закрыл консоль? Иначе открывай все заново и наблюдай на экране такое окно:

Как видишь, тут все похоже на обычный диск, за исключением того, что папки содержат не файлы, а объекты, а сами папки - это те самые контейнеры. Если посмотреть внимательнее, то можно заметить различие иконок у папки - либо просто папка, либо папка с открытой книгой внутри - так различаются встроенные контейнеры и OU. Еще их различие заключается в том, что первые нельзя ни удалить, ни применить к ним GP (Group Policy - групповую политику), зато все поддерживают делегирование управлением (об этом чуть ниже).

Каждому компьютеру и пользователю, которые должны входить в домен, должна соответствовать учетная запись, которая создается внутри контейнера (все компьютеры, которые ты будешь подключать к домену с клиентской машины, будут помещаться в Computers). Причем никаких ограничений по расположению в определенном месте нет (то есть ты можешь создавать учетные записи пользователей в Computers, а компьютеров - в Users), но лучше все распределять по смыслу, чтобы потом не запутаться. Для того чтобы создать дополнительные OU, нужно выполнить ПКМ (там, где это нужно)->Создать->Подразделение, и получится новый контейнер. Я сделал так: