Active Directory

Instalacja i konfiguracja usugi katalogowej Active Directory wraz z rol serwera DNS oraz tworzenie konta uytkownika dla maej domeny na przykadzie systemu Microsoft Windows 2003 Server.
Szymon Fronia

Co to jest Active Directory?

Active Directory to usuga katalogowa, dziki ktrej moliwe jest zarzdzanie domen. Pierwszy raz pojawia si ona w systemie Windows 2000 i od tej pory bya stale rozbudowywana i aktualizowana. Dzisiaj jej najnowsza wersja zintegrowana jest z Windows Server 2003. Domena natomiast to grupa komputerw poczonych w sie, skadajca si z serwera penicego rol kontrolera domeny oraz stacji roboczych - klientw. Rni si ona od grupy roboczej sposobem przechowywania informacji o uytkownikach i ich uprawnieniach. O ile w klasycznych grupach roboczych kady komputer w sieci posiada swoj wasn baz uytkownikw, tak w domenie jest ona przechowywana tylko na serwerze. Dziki temu zarzdzanie tak sieci jest znacznie prostsze. Usuga Active Directory: Jest scentralizowana dziki centralnemu repozytorium informacji, usugi Active Directory speniaj potrzeby gromadzenia i wyszukiwania informacji sieciowej dla kadego uytkownika domeny. Jest skalowalna model domen jest hierarchiczny, w rezultacie usugi Active Directory mog ulec podziaowi w obszarze przedsibiorstwa zoonego z wielu domen, zachowujc przy tym charakter spjnej jednostki. Uatwia administrowanie sieciami opartymi na systemach Windows wszelkie prace administracyjne mona wykona z poziomu intuicyjnej konsoli MMC. Wiele usug jest prowadzonych za porednictwem tego narzdzia z uyciem przystawek. Dziki zdolnoci Active Directory do gromadzenia informacji dowolnego rodzaju obiektw, korzystanie przez administratora z rnorodnych programw narzdziowych jest proste. Jest bezpieczna usuga katalogowa Active Directory jest w peni zintegrowana z zabezpieczeniami systemu Windows 2003. Za kadym razem, gdy uytkownik (lub usuga czy aplikacja) wysya danie odnonie informacji przechowywanych w wykazie, usuga sprawdza poziom uprawnie tego uytkownika. Poniewa usugi Active Directory mog przechowywa najrniejsze informacje, administratorzy mog wdraa rozszerzone usugi zabezpiecze na przykad usugi oparte na certyfikatach cyfrowych, protokole Kerberos czy nawet kartach inteligentnych. Jest bogata w aplikacje usuga Active Directory jest dostpna przez takie protokoy, jak LDAP czy ADSI. Programici aplikacji mog korzysta z wielu istniejcych jzykw programowania, takich jak C, C++ i Microsoft Visual Basic, w celu pisania aplikacji obsugujcych katalog. Jest rozszerzalna administratorzy korzystajcy z centralnych repozytorium informacji mogliby odczuwa potrzeb gromadzenia informacji specyficznych dla ich aplikacji lub sieci. Usugi Active Directory s rozszerzalne i mona je dopasowa do specyficznych potrzeb organizacji.

Jest gotowa do uytku zaraz po instalacji usugi Active Directory s wypeniane interesujcymi i uytecznymi informacjami, stanowic szeroki fundament pod obiekty w sieci. Obiekty te zawieraj informacje o uytkownikach, grupach i zabezpieczeniach, a take rnego rodzaju sieciowe obiekty systemu operacyjnego, do ktrych uytkownicy i administratorzy mog uzyska dostp.

Instalacja
Uwaga: zainstalowanie usugi Active Directory (promocja serwera do roli kontrolera domeny) usunie wszystkie konta lokalne oraz dodatkowe certyfikaty. Dostp do wszystkich zaszyfrowanych danych zostanie permamentnie utracony! Po zainstalowaniu systemu Windows Server 2003 (w naszym przypadku wersji Standard Server) oczom naszym ukazuje si narzdzie Manage Your Server informujce, e nasz serwer nie zosta jeszcze skonfigurowany do penienia adnej funkcji w sieci. Czas najwyszy to zmieni. Wybieramy opcj Add or Remove Role i czekamy cierpliwie, a WIndows przeanalizuje nasze poczenia. Naley zignorowa propozycj zainstalowania standardowych skadnikw, po czym wywietl si dostpne opcje.

Rysunek 1: Okno wyboru roli serwera

Wybieramy oczywicie pozycj Domain Controller (Active Directory) i klikamy na Next. Zostaje uruchomiony standardowy kreator usugi Active Directory, znany z Windows 2000. Uytkownicy Windows 2000 uruchamiaj go poleceniem dcpromo. Po przeczytaniu informacji zachcajcej do instalacji oraz ostrzeenia o kompatybilnoci wpisw uprawnie ze starszymy wersjami Windows klikamy Next. Pierwsze pytanie brzmi: czy tworzymy now domen, czy dodajemy drugi kontroler do ju istniejcej. Wybieramy oczywicie t pierwsz odpowied. Na kolejnym ekranie decydujemy, czy doda now

domen do ju istniejcego lasu lub drzewa. Poniewa jest to pierwsza domena w sieci, zaznaczamy opcj Domain in a new forest (Domena w nowym lesie).

Rysunek 2: Wybr typu kontrolera domeny

Rysunek 3: Decyzja tworzenia drzewa lub doczenia si do innej domeny

W kolejnym kroku moemy pokusi si o samodzielne skonfigurowanie serwera DNS. Wybieramy jednak automatycz konfiguracj tego i klikamy Next. Ekran ten moe te pojawi si po wyborze ceiki udostpnionego woluminu systemowego, zalenie od naszej wersji systemu. Ujrzymy wtedy komunikat o niepowodzeniu skontaktowania si z serwerem DNS obsugujcym nasz domen. Warto i w takim przypadku pozostawi kreatorowi zadanie automatycznej instalacji usugi DNS W nastpnym oknie mamy bardziej kreatywne zadanie - wybr nazwy domeny. Moemy puci wodze fantazji, Rysunek 4: Pytanie o konfiguracj usugi DNS poniewa nazwa nie jest ograniczona tylko do liter, mog znajdowa si w niej i kropki i cyfry. Warto rwnie tak nazwa przysz domen, by przysza etykieta od razu sugerowaa ewentualn jej lokalizacj lub zadanie. W tym przypadku wybieram dom.docenta.net. Dalej w kreatorze musimy okreli nazw NetBios domeny. Bdzie ona uywana w starszych systemach Windows, takich jak Windows 98 czy Windows Millenium. Kreator automatycznie proponuje pierwszy czon nazwy, czyli u mnie DOM. Wybierzmy jednak nazw DOMDOCENTA.

Rysunek 5: Wybr nazwy domeny

Rysunek 6: Wybr nazwy NetBIOS

Krok numer siedem i zbliamy si powoli do koca. Tak naprawd nie pozostao nam duo pracy, poniewa z powodzeniem moemy zaakceptowa domylne odpowiedzi. Tym razem chodzi o pooenie plikw - bazy Active Directory i jej logw.

Rysunek 7: Wybr cieki do plikw usugi Active Directory

Na kolejnym ekranie rwnie znajduj si satysfakcjonujce ustawienia domyle - chodzi mianowicie o Shared System Volume czyli wolumin zawierajcy kopie plikw publicznych domeny.

Rysunek 8: Wybr cieki do udostpnionego woluminu systemowego

Nastpny krok jest ju jednak bardziej istotny, poniewa musimy okreli, czy w naszej sieci znajduj si komputery z systemami Windows Millenium Edition i starszymi, a cilej - czy bda si one czy do naszej domeny. Jeli nasza sie skada si tylko z komputerw pod kontrol Windows XP Professional czy Windows 2000 to, tak jak na moim przykadzie, wybieramy opcj drug. W przeciwnym wypadku pozostaje zaznaczenie pierwszej.

Rysunek 9: Wybr domylnych uprawnie - kompatybilnoci ze starszymi systemami.

Ostatnie pytanie kreatora usugi Active Directory dotyczy hasa do Trybu Odzyskiwania. Jest on przydatny w momencie, kiedy co si zepsuje i nie bdziemy mogli si zalogowa. Naley

zwrci uwag, e nie chodzi tu o konto administratora domeny. Wpisujemy dwukrotnie wybrane haso i klikamy Next. Teraz kreator pokae ekran podsumowania, a po klikniciu Next zaczyna waciw instalacj usugi. Najpierw zostanie utworzona domena, a pniej skonfigurowany zostanie serwer DNS. Moe to potrwa kilka minut. Gdy proces ten zostanie ukoczony pojawi si przyjazny komunikat informujcy o pomylnym zakoczeniu instalacji Active Directory. Teraz pozostaje tylko ponownie uruchomi komputer.

Pierwsze logowanie

Rysunek 10: Ekran logowania do skonfigurowanego wanie kontrolera domeny

Po ponownym uruchomieniu komputera od razu zauwaamy zmiany. Okno logowania troch si zmienio, dodane zostay dwie opcje: 'Zaloguj do' oraz 'Zaloguj uywajc linii telefonicznej' (tej drugiej nie ma na screenie powyej, poniewa zosta on zrobiony w trakcie korzystania z usug terminalowych). Logujemy si na konto Administrator wraz z hasem lokalnym (czyli takim, jakie mielimy przed promocj). Ukazuje si jeszcze jedno potwierdzenie sukcesu w instalacji Active Directory - komuniakt informujcy, e ten komputer jest teraz kontrolerem domeny.

Rysunek 11: komunikat informujcy o pomylnej instalacji usugi Active Directory

Tworzenie kont uytkownikw

Moemy teraz przystpi do kolejnego wanego zadania. Co prawda domena jest ju poprawnie zainstalowana, jednak tylko Administrator moe z niej korzysta. Dlaczego? Oto nie ma adnych kont uytkownikw. Aby takie stworzy musimy uda si do konsoli Avtive Directory Users and Computers. Znajduje si ona w narzdziach administracyjnych.

Rysunek 12: Okno konsoli MMC: Uytkownicy i komputery usugi Active Directory

W drzewie dom.docenta.net najwaniejsz dla nas gazi jest Users, rozwijamy j wic. Na razie jedynym aktywnym uytkownikiem w domenie jest Admnistrator, dlatego tylko on moe zalogowa si do domeny. Czas to zmieni. Klikami prawym przyciskiem na obszar roboczy i wybierami z menu kontekstowego opcj New User. Tworzenie uytkownika jest podzielone na dwa etapy. W pierwszym uzupeniamy informacje o nim (nazwa logowania i ew. imi i nazwisko), a w drugim wybieramy haso i ustawienia konta.

Rysunek 13: Okno tworzenia nowego uytkownika - krok I

Rysunek 14: Okno tworzenia nowego uytkownika - krok II

Gdy stworzymy ju odpowiednich uytkownikw (nadajc im loginy docent, jkowalski, anowak) czas na prb. Jednak aby uytkownicy mogli si zalogowa na swoich stacjach roboczych z systemem Windows XP Professional niezbdne jest doczenie ich komputerw do naszej domeny.

Rysunek 15: Okno uytkownikw z dodanym przykadowymi uytkownikami

Przyczanie komputerw do domeny

Uwaga! Naley zauway, i kiedy bez problemw doczymy stacje robocze z systemami Windows XP lub Windows 2000, to nie bdzie moliwe zalogowanie si do domeny z poziomu systemw starszych. Moliwe byoby takie dziaanie, gdybymy w trakcji instalacji usugi wybrali poziom uprawnie kompatybilny ze starszymi systemami. W Windows XP, aby doczy do domeny, naley najpierw zalogowa si na konto z uprawnieniami Administratora lokalnego (tzn. na konto istniejce na stacji roboczej). W Panelu sterowania klikami na ikon System, a nastpnie przechodzimy do karty Nazwa komputera. Przycisk Zmie otwiera nam nowe okno z waciwociami nazwy komputera. Zmieniamy opcj Grupa robocza na Domena i wpisujemy nazw domeny, w naszym przypadku DOMDOCENTA. Naley wpisa wanie t uproszczon nazw, a nie dom.docenta.net. Oczywicie, nasz serwer musi by wczony podczas tego procesu. Nastpnie bdziemy musieli wpisa nazw uytkownika oraz haso dla ktrego z wczeniej utworzonych kont.

Rysunek 16: Przycznie komputera do domeny.

Po pomylnym zweryfikowaniu domeny pojawia si komunikat:

Rysunek 17: Pomylne przyczenie do domeny

Teraz musimy uruchomi ponownie klienta (tj. system Windows XP), aby wprowadzone zmiany odniosy skutek. Po tym zabiegu znw obserwujemy zmian okna logowania pojawiy si znane nam dwie opcje. Sprbujmy teraz zalogowa si np. na konto Jana Kowalskiego. Wpisujemy jako nazw uytkownika jkowalski i jego haso, ustawione podczas

tworzenia uytkownika. Nie zapominajmy, e serwer musi by nieustannie wczony. Po klikniciu OK i automatycznym stworzeniu profilu uytkownika powinnimy zobaczy pulpit.

Rysunek 18: Logowanie si do domeny.

rda:
http://infojama.pl/ http://technet.com/ David Iseminger Usugi Active Directory dla Microsoft Windows 2000 Server przewodnik techniczny MCSE Traininig Kit Microsoft Windows 2000 Server