Предисловие
Введение
Читательская аудитория
Содержание книги
Используемые в книге соглашения
Обратная связь
Благодарности
От издателя перевода
Глава 1. Общие рекомендации
Структура книги
Где искать используемые в книге средства
Знакомство с LDIF
Программирование
Заменяемый текст
Дополнительные источники информации
Глава 2. Леса и домены, доверительные отношения
Введение
Создание леса
Удаление леса
Создание домена
Удаление домена
Удаление домена, у которого отсутствуют контроллеры
Поиск доменов в лесу
Определение NetBIOS-имени домена
Переименование домена
Изменение режима работы домена
Подготовка домена или леса к переводу в режим Windows Server 2003 с помощью программы adprep
Как убедиться в успешном выполнении команды adprep
Проверка готовности контроллера домена Windows 2000 к переходу на Windows Server 2003
Повышение функционального уровня домена до Windows Server 2003
Повышение функционального уровня леса до Windows Server 2003
Установка доверительных отношений между доменами Windows NT и Active Directory
Создание транзитивного доверия между двумя лесами Active Directory
Создание сокращенного доверия между двумя доменами Active Directory
Установка доверия к сфере Kerberos
Просмотр доверительных отношений домена
Проверка доверительного отношения
Переустановка доверительного отношения
Удаление доверительного отношения
Использование фильтрации SID
Поиск в домене повторяющихся кодов безопасности
Глава 3. Контроллеры домена, глобальные каталоги и роли
Ведение
Повышение роли сервера до роли контроллера домена
Повышение роли сервера до роли контроллера домена
с использованием копии содержимого каталога
Понижение роли контроллера домена
Автоматизация процессов создания контроллера домена и понижения его роли
Разрешение проблем, связанных с созданием контроллера домена и понижением его роли
Удаление контроллера домена, понижение роли которого выполнено неудачно
Переименование контроллера домена
Получение списка контроллеров домена для указанного домена
Поиск ближайшего контроллера домена
Поиск сайта контроллера домена
Перемещение контроллера домена в другой сайт
Получение сведений о службах, предоставляемых контроллером домена
Конфигурирование контроллера домена для использования внешнего источника времени
Определение числа попыток входа в систему на контроллере домена
Использование ключа /3GB для увеличения объема кэша LSASS
Удаление объектов DLT
Включение и отключение глобального каталога
Подтверждение факта успешного включения глобального каталога
Поиск серверов глобального каталога в лесу
Поиск контроллеров домена или серверов глобального каталога, входящих в состав сайта
Поиск контроллеров домена и серверов глобального каталога через DNS
Изменение ссылки на контроллер домена
Отключение требования доступности сервера глобального каталога при входе в домен Windows 2000
Отключение требования доступности сервера глобального каталога при входе в домен Windows Server 2003
Поиск хозяев операций
Передача роли FSMO
Назначение роли FSMO
Поиск эмулятора PDC через службу DNS
Глава 4. Объекты и операции над ними
Введение
Получение сведений об объекте RootDSE
Просмотр значений атрибутов объекта
Использование управляющих объектов LDAP
Использование быстрого и параллельного связывания
Поиск объектов в домене
Поиск в глобальном каталоге
Поиск большого количества объектов
Поиск по значениям составных атрибутов
Поиск с помощью поразрядного фильтра
Создание объекта
Изменение значений атрибутов объекта
Изменение значения атрибута, содержащего битовые флаги
Динамическое связывание пользовательских классов
Создание динамического объекта
Обновление динамического объекта
Изменение задаваемого по умолчанию времени жизни динамических объектов
Перемещение объекта в другое подразделение или контейнер
Перемещение объекта в другой домен
Переименование объекта
Удаление объекта
Удаление контейнера с дочерними объектами
Просмотр времени создания и последнего изменения объекта
Изменение используемой по умолчанию политики запросов LDAP
Экспорт объектов в файл LDIF
Импорт объектов из файла LDIF
Экспорт объектов в CSV-файл
Импорт объектов из CSV-файла
Глава 5. Подразделения
Введение
Создание подразделения
Просмотр списка контейнеров заданного домена
Просмотр списка объектов заданного подразделения
Удаление объектов из подразделения
Удаление подразделения
Перемещение объектов между подразделениями
Перемещение подразделения
Определение количества дочерних объектов в подразделении
Делегирование функций управления подразделением
Предоставление разрешения на создание подразделений в контейнерах
Связывание объекта групповой политики с контейнером
Глава 6. Пользователи
Введение
Создание учетной записи пользователя
Создание большого числа учетных записей пользователей
Создание объекта inetOrgPerson
Одновременная установка значения атрибута для нескольких пользователей
Перемещение учетной записи пользователя
Изменение имени пользователя
Копирование учетной записи пользователя
Разблокирование учетной записи пользователя
Поиск заблокированных учетных записей пользователей
Разрешение проблем, связанных с блокировкой учетных записей
Просмотр политик блокировки учетных записей в домене и управления паролями
Включение и отключение учетной записи пользователя
Поиск отключенных учетных записей пользователей
Просмотр информации о членстве пользователя в группах
Изменение основной группы пользователя
Включение пользователя во все группы, членом которых является другой пользователь
Определение пароля пользователя
Установка пароля пользователя средствами LDAP
Установка пароля пользователя средствами Kerberos
Запрет на изменение пароля пользователем
Смена пароля пользователем при следующем входе в систему
Снятие ограничений на срок действия пароля
Поиск учетных записей пользователей, чьи пароли скоро станут недействительными
Установка параметров учетной записи пользователя
Установка срока действия учетной записи
Поиск учетных записей, срок действия которых скоро истечет
Определение времени последнего входа пользователя в систему
Поиск учетных записей пользователей, не входивших в систему в течение определенного времени
Установка параметров пользовательского профиля
Получение списка объектов, принадлежащих указанному пользователю
Изменение выводимого имени пользователя
Создание UPN-суффикса для леса
Глава 7. Группы
Введение
Создание группы
Просмотр списка непосредственных членов группы
Просмотр списка косвенных членов группы
Добавление и удаление членов группы
Перемещение группы
Изменение области действия и типа группы
Делегирование управления членством в группе
Определение имени основной группы пользователя
Кэширование информации о членстве в универсальных группах
Глава 8. Компьютеры
Введение
Создание объекта computer
Создание объекта computer для конкретного
пользователя или для группы
Присоединение компьютера к домену
Перемещение объекта computer
Переименование компьютера
Тестирование защищенного канала компьютера
Переустановка учетной записи компьютера
Поиск неактивных или неиспользуемых компьютеров
Изменение максимального количества компьютеров, которые пользователь может присоединить к домену
Поиск учетных записей компьютеров, работающих
под управлением определенной операционной системы
Ссылка на контейнер, используемый по умолчанию для хранения объектов computer
Замена используемого по умолчанию контейнера объектов computer
Глава 9. Объекты групповой политики
Введение
Поиск объекта групповой политики в домене
Создание объекта групповой политики
Копирование объекта групповой политики
Удаление объекта групповой политики
Просмотр установок объекта групповой политики
Изменение установок объекта групповой политики
Импорт установок объекта групповой политики
Включение сценариев в объект групповой политики
Установка приложений с использованием объекта групповой политики
Отключение установок пользователя или компьютера в объекте групповой политики
Вывод списка связей объекта групповой политики
Создание связи объекта групповой политики с областью управления
Блокирование наследования групповой политики для подразделения
Фильтрация объектов, на которые распространяется действие объекта групповой политики
Создание фильтра WMI
Связывание фильтра WMI с объектом групповой политики
Создание резервной копии объекта групповой политики
Восстановление объекта групповой политики
Эмуляция результирующей политики
Просмотр результирующей политики
Обновление групповых политик компьютера
Восстановление политики, применяемой по умолчанию
Глава 10. Схема Active Directory
Введение
Регистрация оснастки Active Directory Schema
Разрешение на изменение схемы
Получение OID для нового класса или атрибута
Генерация GUID для нового класса или атрибута
Расширение схемы
Документирование расширений схемы
Добавление нового атрибута
Просмотр свойств атрибута
Добавление нового класса
Просмотр атрибутов класса
Индексирование атрибута
Выбор атрибутов, копируемых вместе с учетной записью пользователя
Выбор атрибутов, по которым будет выполняться ANR-поиск
Добавление или удаление атрибута из глобального каталога
Поиск нереплицируемых и вычисляемых атрибутов
Поиск связанных атрибутов
Поиск структурных, абстрактных и особых классов, а также классов типа 88
Поиск атрибутов класса
Изменение параметров безопасности класса Деактивизация классов и атрибутов
Переопределение классов и атрибутов
Перезагрузка схемы
Глава 11. Топология сети
Введение
Создание сайта
Вывод списка сайтов
Удаление сайта
Создание подсети
Вывод списка подсетей
Поиск подсетей, не связанных с сайтом
Создание связи сайтов
Поиск связей указанного сайта
Изменение набора сайтов, соединенных посредством указанной связи Изменение стоимости связи сайтов
Отключение расписаний и транзитивности связей
Создание моста связей сайтов
Поиск серверов-плацдармов
Выбор для сайта предпочтительного сервера-плацдарма
Вывод списка серверов
Перемещение контроллера домена в другой сайт
Распространение области действия контроллера домена на несколько сайтов
Просмотр списка сайтов, на которые распространяется область действия контроллера домена
Ограничение области действия контроллера домена
Поиск сайта клиента
Связывание клиента с конкретным сайтом
Создание объекта connection
Вывод списка объектов connection для указанного сервера
Распределение нагрузки между серверами-плацдармами
Поиск генератора межсайтовой топологии для указанного сайта
Передача роли генератора межсайтовой топологии другому контроллеру домена
Запуск средства проверки согласованности знаний
Контроль функционирования средства проверки согласованности знаний
Отключение средства проверки согласованности знаний для указанного сайта
Изменение периода работы средства проверки согласованности знаний
Глава 12. Репликация
Введение
Проверка синхронизации двух контроллеров домена Просмотр сведений о репликации для нескольких контроллеров домена Просмотр нереплицированных изменений в каталогах двух контроллеров домена Принудительная репликация с одного контроллера домена на другой Изменение периода внутрисайтовой репликацииv Изменение периода межсайтовой репликации Отключение режима сжатия трафика репликации между сайтами Выявление неполадок, связанных с репликацией Включение режима расширенного протоколирования событий репликации Установка режима строгой или слабой согласованности репликации Поиск конфликтующих объектов Просмотр метаданных объекта
Глава 13. Система доменных имен
Введение
Создание зоны прямого просмотра
Создание зоны обратного просмотра
Просмотр зон на сервере
Преобразование обычной зоны DNS в зону, интегрированную с Active Directory
Перемещение зон, интегрированных с Active Directory, в раздел приложений
Делегирование управления зоной
Создание и удаление записей ресурсов
Поиск записей ресурсов
Изменение конфигурации сервера DNS
Выполнение очистки с целью удаления старых записей ресурсов
Очистка кэша DNS
Проверка возможности регистрации записей ресурсов контроллером домена
Регистрация записей ресурсов контроллера домена
Отключение режима динамической регистрации записей ресурсов
контроллером домена
Запрет на динамическую регистрацию записей ресурсов определенных типов Удаление записей ресурсов контроллера домена
Использование в именах компьютеров суффикса домена, отличного от имени домена Active Directory
Глава 14. Защита и аутентификация
Введение
Включение SSL/TLS
Шифрование трафика LDAP с помощью SSL или TLS и использование цифровых подписей
Разрешение анонимного доступа по протоколу LDAP
Запрет на выполнение запросов LDAP от определенных клиентов
Использование мастера делегирования управления
Настройка мастера делегирования управления
Просмотр списка контроля доступа объекта Настройка редактора ACL
Просмотр действующих разрешений на доступ к объекту
Изменение списка контроля доступа объекта
Изменение используемого по умолчанию списка контроля доступа, связанного с классом объектов в схеме
Сравнение ACL объекта с используемым по умолчанию списком
контроля доступа его класса
Переустановка списка контроля доступа объекта
Запрет на сохранение хэш-значений паролей
Включение режима List Object Access Изменение списка контроля доступа для администраторов
Просмотр и удаление билетов Kerberos
Совместное использование протоколов Kerberos и UDP
Настройка параметров протокола Kerberos
Глава 15. Протоколирование, мониторинг и квоты
Введение v
Расширенное протоколирование операций программы dcpromo
Повышение уровня диагностического протоколирования
Протоколирование процесса NetLogon
Клиентское протоколирование процесса обработки объектов групповой политики
Протоколирование системы Kerberos
Отладочное протоколирование сервера DNS
Просмотр статистики производительности сервера DNS
Протоколирование неэффективных и дорогостоящих запросов LDAP
Просмотр статистики запросов LDAP с использованием управляющего объекта STATS
Мониторинг Active Directory с применением программы perfmon
Использование журналов трассировки программы perfmon для мониторинга работы Active Directory
Аудит доступа к каталогу
Определение квоты
Поиск объектов quota, связанных с участником системы безопасности
Изменение весового коэффициента захороненных объектов по отношению к квоте
Определение квоты для участников системы безопасности из указанного раздела
Определение использованной части квоты
Глава 16. Архивирование и восстановление каталога, удаленные объекты
Введение
Архивирование данных Active Directory
Перезапуск контроллера домена в режиме восстановления службы каталогов
Переустановка пароля администратора для режима восстановления службы каталогов
Выполнение неавторизированного восстановления
Авторизированное восстановление объекта или поддерева
Полное авторизированное восстановление
Проверка целостности DIT-файла
Перемещение DIT-файла
Исправление или восстановление DIT-файла
Дефрагментация базы данных без отключения служб на контроллере домена
Определение объема свободного пространства в DIT-файле
Выполнение дефрагментации с отключением служб на контроллере домена
Изменение периода сбора мусора
Протоколирование операции по удалению захороненных объектов
Определение размера базы данных Active Directory
Поиск удаленных объектов
Восстановление удаленных объектов
Изменение времени захоронения объектов
Глава 17. Разделы приложений
Введение
Создание и удаление раздела приложений
Поиск разделов приложений в лесу
Добавление и удаление сервера репликации
Поиск серверов репликации раздела приложений
Поиск разделов приложений, хранящихся на заданном сервере
Проверка на сервере настроек раздела приложений
Определение времени задержки уведомления о репликации
Назначение домена ссылок дескрипторов безопасности для раздела приложений
Делегирование функций управления разделом приложений
Глава 18. Взаимодействие и интеграция
Введение
Доступ к Active Directory с платформы, отличной от Windows
Программирование в .NET
Программирование на DSML
Программирование на Perl
Программирование на Java
Программирование на Python
Интеграция с MIT Kerberos
Интеграция с Samba
Интеграция с Apache
Замена службы NIS
Использование BIND вместо DNS
Авторизация сервера Microsoft DHCP
Использование VMWare для тестирования Active Directory Приложение. Список инструментальных средств
Алфавитный указатель