Домены Windows 2000/2003 – отказываемся от рабочей группы::Журнал СА 9.2005
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6236
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6943
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4229
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3014
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3811
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3827
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6323
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3174
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3466
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7283
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10649
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12370
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14004
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9130
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7083
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5392
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4619
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3431
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3160
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3405
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3029
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Домены Windows 2000/2003 – отказываемся от рабочей группы

Архив номеров / 2005 / Выпуск №9 (34) / Домены Windows 2000/2003 – отказываемся от рабочей группы

Рубрика: Администрирование /  Служба каталогов

РОМАН МАРКОВ

Домены Windows 2000/2003 – отказываемся от рабочей группы

Что делать, когда ваша сеть, сконфигурированная в качестве рабочей группы Windows, перестала удовлетворять требованиям управляемости и удобной масштабируемости? Ответ один – переходить на Active Directory! Однако прежде чем начинать подобный проект, необходимо хорошо знать все его нюансы.

Тенденция быстрого роста локальных сетей небольших компаний наблюдается в наши дни повсеместно. Сначала это два-три компьютера для бухгалтерии, затем еще по одному для директора, его заместителя, секретаря, нескольких менеджеров и т. д. Через какое-то время их количество опять увеличивается, так как штат сотрудников расширяется. Однако изначально все эти компьютеры являются членами рабочей группы, в которой каждый участник равноправен. Администрировать такую сеть становится неудобно, так как понятия «централизованное управление» и «рабочая группа» являются взаимоисключающими.

Именно в этот момент вам приходится принимать решение о переходе к доменной структуре (Active Directory).

С какими трудностями вам придется столкнуться в первую очередь? Что необходимо предусмотреть заранее, чтобы процесс перехода прошел без сучка и задоринки? Сегодня я попытаюсь обобщить свой опыт подобных внедрений, чтобы заранее облегчить вашу задачу.

План перехода к Active Directory

Для реализации подобного перехода необходимо заранее составить план своих действий. Наибольшей производительности своего труда вы достигнете, выполняя все настройки в нерабочее время. Оптимальным решением является использование выходных дней, так как при количестве рабочих станций более 5-7 за один вечер завершить перевод скорее всего не удастся. Необходимо помнить о том, что любые работы по глобальной перенастройке системы могут занять в несколько раз больше времени, чем планировалось. Поэтому вы должны быть уверены в том, что расчетное время завершения всех работ в два(!) раза меньше имеющегося в наличии. В противном случае вы рискуете получить неработоспособную систему в момент выхода пользователей на работу.

Роль контроллера домена (далее КД) лучше доверить выделенному для этих целей компьютеру (серверу). Понятие «выделенный» в данном случае означает, что никто не должен использовать его в качестве рабочей станции. Эта рекомендация известна всем, но тем не менее еще раз напоминаю об этом. Для несения роли КД для 10-30 рабочих станций и такого же количества пользователей подойдет любой компьютер, удовлетворяющий требованиям ОС Windows Server – нагрузка на него при таких условиях будет невелика. Вполне достаточно следующей конфигурации: Celeron-700, 256 RAM, 10 HDD. Однако не стоит забывать, что даже в небольших сетях должна обеспечиваться отказоустойчивость, поэтому КД в домене должно быть более одного.

Акцентирую ваше внимание на том, что данная статья не является технической инструкцией по настройке контроллера домена, введению в домен рабочих станций, заведению учетных записей пользователей и пр. Об этом вы можете прочитать в [1], где вы найдете советы по планированию перехода от рабочей группы к домену.

Следующий этап – подготовка сервера и клиентских рабочих мест. Для того чтобы сделать переход к доменной структуре абсолютно прозрачным для пользователей, необходимо создать и заполнить анкеты для каждого рабочего места локальной сети. Если за одним компьютером работают несколько пользователей, использующих различные учетные записи (или программное обеспечение), то такую анкету должен заполнить каждый из них. Форма может быть произвольной, главное, чтобы были заполнены требуемые поля. Это: имя компьютера в сети, ФИО пользователя, имя его учетной записи, пароль, используемые программы, расположение рабочих документов и пр. Пример заполненной анкеты приведен на рис. 1.

Рисунок 1. Подобную анкету должен заполнить каждый пользователь

Рисунок 1. Подобную анкету должен заполнить каждый пользователь

Обяжите каждого пользователя сети заполнить подобную табличку перед началом модернизации. Эту процедуру полезно выполнять перед любыми действиями по переконфигурированию пользовательских компьютеров – после переустановки системы вы восстанавливаете все, что попросил пользователь. Если он об этом в данном отчете не упомянул – значит, вы тем более не могли знать, чем он пользуется. Главное провести правильную предварительную беседу, рассказав, для чего необходимо заполнять такую карточку и что вы не будете нести ответственности за те данные, которые не были описаны. Конечно, такой подход более применим к внедренческим фирмам и не всегда возможен для штатного сотрудника, однако он зарекомендовал себя с лучшей стороны. Иначе – в случае потери данных виноватым всегда окажется системный администратор, который должен был на астральном уровне догадаться, что пользователи хранят все документы в корзине! Поверьте – я не фантазирую – это реальная история из опыта нашей фирмы. Сотрудник, приехавший по заявке клиента о нехватке на диске свободного места, первым делом очистил корзину. Оказалось, что бухгалтер хранил в ней все документы. На вопрос: «Как же вы их сохраняли?!» последовал невозмутимый ответ: «Сохраняла на рабочем столе и перетаскивала».

Внимательно отнеситесь к бухгалтерским рабочим станциям – как правило именно они изобилуют «нестандартными» программами, такими как Банк-клиенты и специализированные программы налоговой отчетности. Заранее проконсультируйтесь с технической поддержкой производителей программ на предмет того, что именно вы должны архивировать. Некоторые такие программы защищены от копирования, поэтому после переустановки системы просто перестанут работать, что может явиться крайне критичным, так как невозможность осуществить срочный платеж через систему Банк-клиент – серьезная проблема для организации. Заранее договоритесь о вызове специалиста для переустановки подобных программ.

Полезные технические подробности

С технической точки зрения рекомендуется использовать на рабочих станциях операционные системы не ниже Windows 2000, так как более ранние версии систем (Windows9x/ME, Windows NT) не позволяют в полной мере распространять на них доменные политики и настройки. Поэтому при наличии возможности (технические характеристики компьютера и пр.) переустановите ОС там, где необходимо.

Помните, что перед любыми подобными работами необходимо создавать архивную копию всех данных, находящихся на перенастраиваемых серверах. Опыт показывает, что нелишним будет создать архивную копию даже тех дисковых разделов, которые вы не собираетесь затрагивать в процессе работы – лучше быть спокойным за то, что все продублировано, чем «случайно» установить новую систему не в тот раздел. Конечно, такое напоминание многим может показаться излишним – ведь это и «само собой разумеется». К сожалению, практика показывает, что даже опытные специалисты иногда игнорируют это правило, желая сэкономить время (действительно, процесс архивации данных – самый длительный и утомительный).

Перед основным этапом работ проверьте следующее:

  • Должна быть сделана полная копия всех рабочих данных с сервера. Их необходимо хранить отдельно, на носителе, который вообще никак не участвует в рабочем процессе. После архивирования проведите процедуру контрольного восстановления – не всегда удается скопировать все по каким-либо причинам (права доступа и пр.) Хорошей проверкой на полноту архивации является перемещение, а не копирование файлов – тогда после завершения процедуры на источнике не должно остаться исходных данных. Если что-то осталось – проверьте, скопировалось ли на резервный носитель. Если есть возможность, сделайте две копии – одну на любую рабочую станцию в сети, имеющую необходимый объем дискового пространства, а вторую – на указанный носитель, который сразу уберите подальше.
  • Наличие возле каждого рабочего места заполненных пользователями анкет, с указанием данных, которые необходимо сохранить/перенести со старой системы. Подразумевается, что вы сможете расшифровать записи пользователей, поэтому заранее проведите все уточнения. Также необходимо знать, где хранятся рабочие данные используемых пользователями программ и ОС. Будьте осторожны с такими программами, как Microsoft Outlook и Microsoft Outlook Express – их файлы данных располагаются в профилях пользователей, причем «закопаны» довольно глубоко:
  • Данные Microsoft Outlook – %USERPROFILE%Local SettingsApplication DataMicrosoftOutlook*.pst.
  • Данные Microsoft Outlook Express – %USERPROFILE%Local SettingsApplication DataIdentities{<цифровой код>}Корпорация MicrosoftOutlook Express*.*.
  • Адресная книга – %USERPROFILE%Application DataMicrosoftAddress Book*.wab.
  • Избранное Internet Explorer – %USERPROFILE%Избранное (про него часто забывают, а у пользователя может быть сохранено огромное количество ссылок).

Не совсем рациональным хранением данных почтового ящика отличается и популярная почтовая программа The_BAT! – по умолчанию они хранятся в папке с самой программой. Кстати, не забывайте об использовании встроенных мастеров экспорта и импорта данных, но не вздумайте слепо им доверять – после экспорта данных всегда проверьте их импорт на «чистую» систему.

  • Все необходимые драйвера для переустановки ОС на серверах и рабочих станциях. Крайне рекомендуется иметь несколько «универсальных» дисков с драйверами популярных материнских плат и устройств.
  • Назначен день «X», в который никто из пользователей не будет работать. Оптимальны – два выходных дня – за один можно не успеть. При этом должен быть обеспечен пропускной режим на предприятие и доступ во все помещения с компьютерами.

Переход к Active Directory

Итак, назначенный день наступил и необходимо начинать работы по созданию домена. Еще раз убедитесь, что все данные с перенастраиваемого сервера сохранены в надежном месте.

Устанавливаем серверную операционную систему, обновления, проводим все первичные настройки. Создаем и настраиваем домен (подробно этот процесс многократно описан, в том числе в [1]). После проверки работоспособности домена вводим в него рабочие станции пользователей. Еще перед вводом в домен озаботьтесь их корректным именованием, применяя только латиницу, без пробелов. Русские имена не поддерживаются DNS, а от его работоспособности зависит вся работа Active Directory. Рекомендуется сразу создать в домене первую учетную запись пользователя, рабочую станцию которого мы будем вводить в домен первой. После ввода проверяем минимальную корректность настроек – вход в домен после перезагрузки должен осуществляться не дольше 1 минуты. Если очень продолжительное время вы наблюдаете табличку «Применение параметров безопасности» – какие-то из настроек некорректны (чаще всего неправильно настроен DNS-сервер, либо не он прописан в свойствах сетевого подключения клиента). Первый вход осуществляем с учетными данными пользователя, работающего за этой рабочей станцией. В этот момент создается его профиль, который будет соответствовать профилю данной системы по умолчанию. Все предыдущие настройки останутся в старом профиле пользователя. Если имя для входа в домен не отличается от предыдущего локального имени – новый профиль будет создан с префиксом <имя домена>. Это сделано для того, чтобы не повредить предыдущие настройки. Сразу после первого входа в систему завершаем сеанс пользователя и входим уже с учетной записью администратора домена для перенесения документов и настроек из старого профиля. Заходим в папку профилей (на системах Windows 2000 и выше это папка Documents and Settings) и копируем необходимые нам элементы в новый профиль (см. рис. 2). Обратите внимание – не переносим, а именно копируем, чтобы осталась возможность воспользоваться локальным входом в систему со старыми учетными данными. Таким образом, у вас будет возможность войти в систему локально и посмотреть необходимые настройки. Например, для баз «1С:Предприятие 7.7», в большом количестве присутствующих у сотрудников бухгалтерии, достаточно сохранить один раздел реестра (HKEY_CURRENT_USERSoftware1C1Cv77.7Titles) и затем внести информацию из него после входа в домен. Полностью копировать содержимое старого профиля не рекомендуется без особых оснований, чтобы не перетаскивать ненужный мусор – если что-то понадобится – всегда можно будет потом достать.

Рисунок 2. Копирование информации из старого профиля в новый

Рисунок 2. Копирование информации из старого профиля в новый

Проверив работоспособность первой рабочей станции домена, можно переходить к вводу в домен остальных, повторяя описанную процедуру.

Несмотря на то, что при входе пользователя в домен создается новый профиль, а старый остается невредимым – все равно крайне рекомендуется создавать архивную копию указанных данных в независимом месте. Если же на рабочей станции производилась переустановка ОС, то все пользовательские данные необходимо будет восстанавливать именно из упомянутого архива.

При переносе данных из одного профиля в другой помните, что если пользователь не будет являться локальным администратором компьютера, то может возникнуть необходимость принудительного делегирования ему необходимых разрешений NTFS. Например, на папку почтового ящика в программе The_Bat и пр. В противном случае вы можете столкнуться с ситуацией, когда пользователь будет видеть документ (ярлык, папку и пр.), а в доступе ему будет отказано. Это же касается настроек и данных программ – если какая-либо программа после переноса настроек отказывается работать, – прежде всего проверьте права доступа нового пользователя к рабочим папкам программы. В ситуациях, когда затруднительно понять, куда же именно не хватает прав доступа и в этом ли заключается проблема, можно на время делегировать пользователю права локального администратора и заново произвести вход в систему. Если проблема локализована и остается определить объекты доступа – можно воспользоваться любым системным монитором от стороннего производителя, позволяющим вести журнал обращения к объектам. Я использую для этих целей программу Filemon от Sysinternals. Она удобна тем, что не требует инсталляции и показывает не только файловую активность, но и результаты обращения к реестру, а также к Named Pipes. Акцентирую внимание на том, что делегируются права локального администратора на конкретной локальной станции, а не права администратора домена! В грамотно настроенной сети даже если пользователю оставить эти права для работы – кроме настроек своего компьютера он ничего испортить не сможет.

Начинаем работать с доменом AD

Разумеется, что первое тестирование работоспособности системы должны проводить вы – еще до того, как пользователи выйдут на свои рабочие места. При перенесении настроек из старых профилей в новые необходимо на каждом рабочем месте сымитировать работу конкретного пользователя – открыть несколько документов, проверить работоспособность почты, баз данных и пр. Не поленитесь сделать это, иначе в первый час работы фирмы вам придется «разрываться на части» между компьютерами, восстанавливая работоспособность конкретных программ. Например, осуществив первый вход в систему, обязательно поочередно запустите программы семейства Microsoft Office – при первом запуске с новым профилем пользователя они произведут необходимые настройки, возможно, потребовав дистрибутивные файлы. В противном случае пользователь, ткнув в любой документ Office, запустит этот процесс, получив при этом сообщение о недоступности файла. Практика показывает, что это наиболее частое упущение. То же самое с путями и правами к базам системы «1С:Предприятие» – выше описан способ восстановления таких настроек. Не забывайте также про папки с общим доступом и прочие сетевые ресурсы – их все необходимо будет восстановить и проверить работоспособность и права доступа. Также часто пользователи для доступа к сетевым ресурсам используют быстрые ссылки, автоматически создаваемые в папке «Сетевое окружение».

В первый день ввода в эксплуатацию новой системы вы должны появиться на предприятии раньше всех. Если вы позволите себе опоздать, реакция пользователей будет непредсказуемой – от недоумения до паники. Главное – не позволяйте пользователям сеять эту панику среди коллектива. ваши реплики при общении должны быть спокойными и уравновешенными: «Не волнуйтесь, сейчас все настройки восстановим. Мне понадобится ваша помощь» и т. д. Рекомендуется повесить на входе объявление о «Переходе на новую систему» с просьбой по всем вопросам обращаться к вам.

После перенастройки системы вы услышите множество возгласов в стиле: «Все мои документы пропали!». Главное не паниковать – если все было сделано грамотно и архивы созданы, – восстановить связи недолго. Не стоит метаться от одного пользователя к другому – по очереди подойдите к каждому и попросите при вас проверить работоспособность системы. Устраните самые срочные проблемы и перейдите к следующему пользователю. Если в процессе исследований какие-то настройки или документы пользователей были утрачены – немедленно просмотрите информацию, указанную пользователем в анкете компьютера. Если там ничего не говорится об этих данных – вы тоже не экстрасенс и догадываться на астральном уровне не могли. Поясните это пользователю. Именно поэтому очень важно несколько раз предупредить пользователей об ответственности при заполнении анкеты.

Практика показывает, что при адекватной психологической реакции администратора (профессионализм, спокойствие и невозмутимость) такие проекты осуществляются ровно и по плану. Разумеется, что речь идет именно о корректной реализации такого внедрения. Если перебои в работе предприятия или потеря данных была вызвана ошибками системного администратора – стоит задуматься о повышении квалификации и не браться за подобные проекты.

Автор статьи реализовал более 200 подобных и более сложных проектов системной интеграции и частично описал свой личный опыт работы.

Литература:

  1. Марков Р. Установка и настройка Windows 2К Server. – Журнал «Системный администратор» №10, 2004 г. – 88-94 с (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=10.2004;a=14).
  2. Microsoft Windows 2000 Active Directory Services. Учебный курс. Издательство: Русская Редакция – http://www.rusedit.ru.

Комментарии
 
  30.01.2010 - 03:53 |  Макс

Статья просто отличная. Очень актуальна даже сегодня.

  20.02.2010 - 11:45 |  Руслан

Спасибо огромное за статью! Мне это очень пригодится.

  25.02.2010 - 09:34 |  anonymous

полезная статейка!
пасибо

  15.06.2010 - 10:43 |  maso

Я искал нечто подобное, ибо опыта нет, общие черты знаю, не хватала такого костяка)

  02.08.2010 - 09:43 |  pomoshnik_sysadmina

Долго искал информацию на эту тему

  22.07.2014 - 10:17 |  xandry

Ссылки из литературы уже не рабочие обе.

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru