Podstawy administracji usługą Active Directory

    Wiedza teoretyczna dotycząca usługi Active Directory, nie wystarcza aby skutecznie nią zarządzać. System Windows Serwer 2003 dostarcza wielu narzędzi do jej konfigurowania. Takie czynności jak dołączanie nowego komputera do domeny, czy tworzenie kont komputerów będą niejednokrotnie przeprowadzane przez administratorów domen. Narzędzia, które pozwalają je wykonywać możemy podzielić na trzy grupy: narzędzia graficzne, narzędzia wiersza poleceń oraz narzędzia wsparcia. Pierwsza grupa to przystawki do konsoli MMC

• Użytkownicy i komputery Active Directory - służy do zarządzania komputerami, użytkownikami i grupami
• Domeny i relacje zaufania Active Directory - umożliwia pracę z domenami, drzewami domen i lasami domen - struktura logiczna sieci
• Lokacje i usługi Active Directory - zarządza lokacjami i podsieciami, czyli strukturą fizyczną
• Wynikowy zestaw zasad - umożliwia planowanie zmian i przeglądanie zasad dla użytkowników.

    Przystawki te możemy dołączyć do własnej konsoli roboczej, klikamy w tym celu menu Start następnie Uruchom, wpisujemy mmc i OK. Teraz z menu Plik wybieramy Dodaj/Usuń przystawkę i w nowym oknie klikamy przycisk Dodaj. Po wybraniu interesujących nas przystawek klikamy przycisk OK. Konsole z wybranymi przystawkami możemy zapisać na dysku.

    Możemy także skorzystać z gotowych odwołań, znajdujących się w folderze Narzędzia administracyjne. Dzięki konsoli MMC możemy także konfigurować zdalne komputery. Większość przystawek umożliwia podłączenie się do innego komputera. W tym celu klikamy prawym klawiszem mysz na wybrany wpis w lewym oknie konsoli i z menu kontekstowego wybieramy Podłącz do innego komputera lub Podłącz do kontrolera domeny, gdy konfigurujemy usługi Active Directory. W pierwszym przypadku wpisujemy nazwę komputera lub korzystamy z przycisku Przeglądaj w celu jego zlokalizowania, w drugim zaś wybieramy domenę z listy, po czym klikamy OK. Czasami, gdy na zdalnym komputerze uruchomiona jest zapora Windows lub inna zapora sieciowa możemy mieć problem z połączeniem się. Pojawi się wtedy komunikat błędu mówiący o niedostatecznych uprawnieniach, odmowie dostępu lub nieprawidłowej ścieżce sieciowej. Należy wtedy upewnić się, że zdalny komputer przyjmuje połączenia TCP na porcie 445. W przypadku Zapory systemu Windows problem można rozwiązać włączając ustawienie Zezwalaj na wyjątek administracji zdalnej.

    Kolejną grupą narzędzi są narzędzia wiersza poleceń. Z pozoru niewygodne narzędzia pozostają w pewnych sytuacjach niezastąpione. Najczęściej wykorzystywanymi programami są:

• adprep - wykonuj wstępne przygotowanie domeny Windows 2000 do zainstalowania domeny Windows Serwer 2003
• dsadd - dodaje do katalogów obiekty komputerów, kontaktów, grup i użytkowników oraz jednostek organizacyjnych
• dsget - wyświetla właściwości obiektu podanego w parametrze wywołania
• dsmod - zmienia właściwości obiektów istniejących w katalogu
• dsmove - przenosi obiekt w obrębie jednej domeny lub zmienia mu nazwę
• dsrm - usuwa obiekt z katalogu
• dsquery - wyszukuje obiekty różnego rodzaju według podanych kryteriów
• ntdsuti - umożliwia przeglądanie informacji o lokacjach, domenach i serwerach oraz wykonywanie konserwacji bazy danych Active Directory.

    Wiele programów do konfiguracji Active Directory zawarte jest w narzędziach Support Tool. Przykładami mogą być:

• adsiedit.msc - umożliwia edycję interfejsu Active Directory dla kontenerów domen
• replmon.exe - umożliwia śledzenie przebiegu replikacji w interfejsie graficznym
• dsacls.exe - pozwala zarządzać listami kontroli dostępu dla obiektów w katalogu Active Directory
• dnscmd.exe - pozwala na zarządzanie rekordami stref serwera DNS
• movetree.exe - przenosi obiekty z jednej domeny do drugiej
• repadmin - pozwala na monitorowanie replikacji i zarządzanie w trybie wiersza poleceń
• sdcheck.exe - sprawdza replikacje i poprawność dziedziczenia list kontroli dostępu
• sidwalker.exe - ustanawia listy kontroli dostępu dla obiektów, uprzednio należących do kont, które zostały usunięte lub wydziedziczone
• netdom.exe - pozwala na zarządzanie relacjami zaufania i domenami z wiersza poleceń.

    Głównym narzędziem, wykorzystywanym do zarządzania Active Directory, jest przystawka Użytkownicy i komputery Active Directory. Za jej pomocą możemy wykonywać wszystkie zadania związane z użytkownikami, grupami i komputerami. Po jej uruchomieniu w Narzędziach administracyjnych, Panelu sterowania, ujrzymy drzewo przedstawiające obiekty użytkowników i komputerów aktualnej domeny. Jeżeli chcielibyśmy pracować na innej domenie niż aktualna możemy się podłączyć do innego kontrolera klikając prawym przyciskiem mysz na wpis Użytkownicy i komputery Active Directory i wybierając Podłącz do innego kontrolera domeny lub Podłącz do innej domeny. W narzędziu tym, po lewej stronie występują foldery:

• Zapisane kwerendy - to zapisane kryteria wyszukiwania
• Builtin - lista wbudowanych kont użytkowników
• Computers - kontener dla kont komputerów
• Domain controllers - kontener dla kontrolerów domeny
• ForeignSecurityPrincipals - zawiera informacje o obiektach należących do zaufanych domen zewnętrznych
• Users - kontener dla kont użytkowników

    Po kliknięciu w menu Widok na Opcje zaawansowane, odsłonią się następujące foldery

• LostAndFound - są tu obiekty osierocone, które można przywrócić
• NTDS Quotas - informacje o przydziałach dysku dla usługi katalogowej
• Program Data - informacje Active Directory w formacie dostępnym dla aplikacji Microsoft
• System - wbudowane ustawienia systemu

    Przystawka Użytkownicy i komputery Active Directory pozwala na wyszukiwanie obiektów w katalogu. Można wyszukiwać użytkowników, grupy, komputery, drukarki, foldery udostępnione, jednostki organizacyjne, serwery instalacji zdalnej, klientów instalacji zdalnej i zwykłe kwerendy. Szczególnie ciekawa jest ostatnia opcja, która umożliwia szybkie wyszukiwanie kont, nie tylko na podstawie nazwy czy opisu, lecz także na podstawie takich cech jak nielogowanie się w określonym czasie, wygasanie haseł czy wyłączenie. W celu otworzenia okna wyszukiwania klikamy na wybraną domenę lub inny kontener prawym klawiszem myszy w narzędziu Użytkownicy i komputery Active Directory, i z menu wybieramy Znajdź.

    W nowym oknie wybieramy typ obiektu, jakiego szukamy i kontener, w którym spodziewamy się go znaleźć. Kontenerem może być wybrana domena lub cały katalog. Katalog w tym wypadku oznacza cały magazyn danych. Każdy z typów obiektów posiada swoje cechy, względem których możemy przeprowadzić poszukiwanie, np. gdy wyszukujemy Komputer, możemy wpisać jego nazwę, właściciela oraz wybrać rolę jaką pełni. Dodatkowo, niezależnie od szukanego typu obiektu, mamy do dyspozycji zaawansowane opcje wyszukiwania. W opcjach tych określamy Pole, następnie wybieramy Warunek i podajemy Wartość. Różne obiekty posiadają różne pola, np. dla komputera: Pole - system operacyjny, Warunek - nie jest równe, Opis - Windows 98 - będą wyszukane komputery, które nie mają zainstalowanego systemu Windows 98. Możemy także stworzyć wiele innych warunków. Opcje zaawansowane dostępne są po kliknięciu zakładki Zaawansowane. Kolejnym atutem wyszukiwania obiektów jest to, że po znalezieniu wyników możemy nimi bezpośrednio zarządzać. Np. gdy w wyniku wyszukiwania zobaczymy kilku użytkowników, to po kliknięciu prawym przyciskiem myszy na wybranego użytkownika możemy zmienić jego nazwę, przenieść go lub usunąć, dodać go do grupy, wyłączyć konto lub zresetować jego hasło. Przystawka Użytkownicy i komputery Active Directory umożliwia utworzenie nowego konta komputera. W tym celu klikamy prawym klawiszem myszy na wybrany kontener (może to być domena, w której pracujemy) i z menu wybieramy Nowy, następnie Komputer. Uruchomiony zostanie Kreator tworzenia nowego obiektu - komputera. Najpierw należy podać nazwę nowego komputera oraz nazwę komputera dla systemów starszych niż Windows 2000. Klikając przycisk Zmień, będziemy mogli wybrać użytkownika lub grupę, któremu chcemy umożliwić przyłączenie tego komputera. W ten sposób możemy delegować uprawnienie dla użytkownika do przyłączania tego komputera do domeny. Domyślnie jest to grupa Administratorzy domen. Jeżeli na przyłączanym komputerze jest starszy system niż Windows 2000, wówczas należy zaznaczyć pole Przypisz to konto komputera jako komputer z systemem starszym niż Windows 2000. Możliwe jest także przypisanie wybranego konta komputera, jako zapasowy kontroler domeny. Teraz wystarczy kliknąć dwukrotnie przycisk Dalej a następnie Zakończ. Konta komputerów w domenie, które nie są wykorzystywane przez jakiś czas możemy wyłączyć lub usunąć. W tym celu w konsoli Użytkownicy i komputery Active Directory otwieramy kontener, w którym jest zapisane konto, następnie klikamy prawym klawiszem myszy na niepotrzebne konto, po czym z menu wybieramy Usuń. Wyświetlony zostanie monit o potwierdzenie usunięcia. Konto które usuwamy, tracimy na zawsze. Jeżeli uważamy, że może się jeszcze kiedyś przydać, możemy je wyłączyć. Aby wyłączyć konto klikamy na nie prawym klawiszem myszy, po czym z menu wybieramy Wyłącz. Tu też będziemy musieli potwierdzić wyłączenie konta. Wyłączenie konta nie jest możliwe, jeżeli jest ono aktualnie wykorzystywane. Wyłączone konto po kliknięciu prawym klawiszem myszy, będzie posiadało opcję Włącz. Konta komputerów domyślnie zlokalizowane są w katalogach Computers, Domain Controllers lub w odpowiednich jednostkach organizacyjnych. Czasami zachodzi potrzeba przeniesienia konta np. do innej jednostki organizacyjnej. W tym celu rozwijamy drzewa w konsoli i klikamy na folder, w którym zlokalizowane jest konto. Wybrane konto klikamy prawym klawiszem myszy, po czym wybieramy z menu Przenieś. W nowym oknie wskazujemy jednostkę organizacyjną, do której konto ma trafić i klikamy OK.
    Konsola Usługi i komputery Active Directory jest najważniejszym narzędziem do zarządzania Active Directory. Umożliwia wysoką funkcjonalność i nieskomplikowany interfejs. Jednak bez wiedzy teoretycznej, nawet z najprostszym interfejsem nie będziemy w stanie odpowiednio skonfigurować serwera. Trzeba pamiętać, że sama konsola Usługi i komputery Active Directory nie pozwoli na wykonanie wszystkich operacji. Często pomocne okazują się narzędzia najprostsze, uruchamiane z linii poleceń. Ich główną zaletą jest to, że bardzo szybko możemy dokonać zmiany (praktycznie jednym poleceniem). Jednak wadą, która decyduje o tym, że te narzędzia są coraz mniej popularne i rzadziej wykorzystywane jest konieczność pamiętania nie tylko samego polecenia, lecz często też jego parametrów. Dlatego tworzonych jest coraz więcej narzędzi graficznych wykluczających tą niedogodność.