Windows Server 2008 R2. Новые возможности служб AD DS::Журнал СА 102009

АЛЕКСАНДР ЕМЕЛЬЯНОВ, инженер группы информационных технологий Владимирского филиала ООО «Татнефть-АЗС-Запад»

Windows Server 2008 R2
Новые возможности служб AD DS

Чем порадуют системных администраторов функциональные нововведения службы каталогов в Windows Server 2008 R2.

Компания Microsoft все годы своей деятельности придерживается основной концепции создания продуктов – удобство и простота управления вкупе с максимальной безопасностью. С этим, я думаю, согласятся как рядовые пользователи, так и инженеры, обслуживающие серверные операционные системы. Примером этому служит то, какие изменения претерпели ОС с момента выхода первых версий для рабочих групп. Поэтому выход нового релиза, даже для текущей версии продукта, практически всегда обещает преподнести очередной пусть и не большой, но приятный сюрприз.

Новшества службы каталогов «созыва» R2 нельзя назвать революционными, но многие из них определенно заслуживают внимания администраторов.

Приведем перечень новых функциональных возможностей Active Directory:

новая оснастка Центр администрирования AD DS (Active Directory Administrative Center);
возможность введения компьютера в домен, не имея физического подключения к контроллеру;
анализатор оптимальных конфигураций;
корзина AD DS;
встроенные командлеты PowerShell;
возможность создания учетных записей для сервисов.

Теперь обо всем по порядку.

Центр администрирования Active Directory

Основанная на Windows PowerShell новая оснастка для управления службой каталогов позволит администраторам выполнять повседневные действия, как создание учетных записей и управление уже существующими, создание и управление группами безопасности, а также организационными подразделениями. Вдобавок ко всему консоль управления снабжена гибкой системой поиска и создания шаблонов для выполнения рутинных повторяющихся действий, тем самым экономя время администратора.

Помимо управления доменом, в состав которого входит компьютер с установленным центром администрирования, из данной оснастки можно подключиться к другому домену при условии наличия одно- или двухсторонних доверительных отношений между доменами.

Новый центр администрирования устанавливается только на машины под управлением Windows Server 2008 R2. В скором времени инженеры Microsoft обещают дополнить возможность его запуска на Windows 7.

Автономный ввод компьютера в домен AD

Операция довольно проста, основная цель – введение в домен компьютера, не имеющего прямой связи с контроллером домена. Расскажу о некоторых особенностях ее проведения.

Для выполнения всех манипуляций требуется утилита djoin.exe. Ввести таким образом можно в домен под управлением контроллера Windows Server 2003 и выше, однако в качестве клиентов для присоединения могут выступить только машины с операционными системами Windows 7 или Windows Server 2008 R2. Кроме этого, в доменах Windows Server 2003/2008 должен присутствовать хотя бы один компьютер Windows 7 или Windows Server 2008 R2.

Именно на одной из этих ОС запускается djoin.exe для создания файла с данными для подключения клиента-компьютера. Синтаксис ее выглядит следующим образом:

djoin.exe /provision /domain имя_целевого_домена /machine имя_компьютера /dcname имя_контроллера_домена [/downlevel] /savefile c:\blob.txt

Параметр /downlevel используется в доменах Windows Server 2003/2008.

Одновременно с созданием файла blob.txt в схеме службы каталогов появляется учетная запись компьютера. Далее этот файл каким-либо образом передается на подключаемую машину, где снова запускается утилита djoin.exe, которая имеет немного другой синтаксис:

djoin.exe /requestODJ /loadfile c:\blob.txt /windowspath %SystemRoot% /localos

Это все. После перезагрузки рабочая станция будет присоединена к домену и при появлении связи с ним будет, возможно, работать в его контексте безопасности.

Анализатор оптимальных конфигураций

Поскольку поиск и устранение ошибок в рамках администрирования Active Directory зачастую превращается в задачу не из легких, разработчики Microsoft решили немного облегчить жизнь администраторам.

Название службы Best Practices Analyzer говорит само за себя. Предназначена она для анализа инфраструктуры AD при развертывании и управлении, подсказывая, где у вашей службы каталогов «больные места». Этот анализ основывается по большей части на опыте крупных компаний, а также специалистов по развертыванию Active Directory.

По сути своей анализатор оптимальных конфигураций – это небольшая система сообщений в консоли управления сервером, где человек, обслуживающий AD, может почерпнуть информацию о проблемах и недочетах инфраструктуры.

Корзина службы каталогов

Здесь будет указано лишь основное предназначение данного функционала службы каталогов, а также причины его возникновения. О том, как включать корзину AD (по умолчанию она отключена) и использовать ее на благо администратора, можно прочитать в [1].

Заглянем немного в прошлое. В предыдущих версиях Active Directory для восстановления объектов приходилось прибегать к использованию архивных копий, загружать контроллер в режиме восстановления службы каталогов либо прибегать к помощи утилит сторонних производителей (например, Quest Recovery Manager от Quest Software). И пусть стараниями всеми уважаемого Марка Руссиновича был изобретен инструмент ADRestore, это решило лишь часть проблем с возвращением к жизни удаленных учетных записей.

Речь идет о том, что при восстановлении аккаунт пользователя терял многие свои атрибуты, в том числе и ссылочные (характерный пример таковых – членство в группах). Чтобы избежать этого, находились методы вмешательства в схему AD (смотри [2]), после которых атрибуты объектов удаленных и после восстановленных, можно было вернуть обратно. Не очень удобно, учитывая, какое количество пользователей может содержать домен.

Microsoft, наконец, придумала временное хранилище для удаленных объектов – корзину AD (AD Recycle Bin). Теперь удаленный объект можно восстановить при помощи того же ADRestore или LDP вместе со всеми атрибутами, в том числе и паролем.

Корзина может использоваться также для облегченной версии службы каталогов AD LDP. Отмечу, что включение корзины – операция необратимая.

Windows Powershell

С выходом новой версии серверной ОС администраторы получили в составе ее встроенный инструмент командной строки для управления службой каталогов, более совершенный, чем привычные уже dsget.exe, dsmod.exe, dsadd.exe, dsmove.exe и другие. В состав Windows PowerShell входит 85 командлетов, позволяющих выполнять всевозможные манипуляции с объектами. Для получения списка всех командлетов можно использовать командлет Get-Command *-AD*. Помимо этого, как уже писалось в [1], в Windows Server 2008 R2 появилась новая среда разработки (подобная Visual Studio) – Windows PowerShell Integrated Scripting Environment, которая поможет в создании и отладке скриптов.

Создание учетных записей для сервисов

Это еще один шаг в сторону улучшения безопасности. Разъясню вкратце смысл данного нововведения. Оно позволяет не создавать отдельные учетные записи пользователей (для которых могут действовать различные политики паролей) для запуска сервисов в рамках домена. Более того, если в домене действует политика смены пароля через заданный промежуток времени, для такой учетной записи эта операция будет производиться автоматически.

Безусловно, многие, если не все, новшества пойдут на пользу администраторам службы каталогов. Более подробно обо всех новинках обновленной версии Active Directory можно прочитать в библиотеке TechNet [3], а также посмотреть в видеодокладе Ильи Рудь по адресу [4].

Коробко И. Управление корзиной. Новый сервис в Active Directory. //Системный администратор, №8, 2009 г. – С. 46-50.
http://itband.ru/2009/03/восстановление-удаленных-доменных-у.
Библиотека TechNet – http://technet.microsoft.com/ru-ru/library/cc440482.aspx.
http://www.techdays.ru/Lecture.aspx?LID=1381.