Kezelt objektumok aktív könyvtárban

Kezelése az Active Directory objektumait

kezelése az Active Directory objektumait a varázsló segítségével. Milyen területen a változás az Active Directory - rejtélyes homály fedi.

Belső Active Directory szerkezete sokkal bonyolultabb, mint amilyennek látszik első pillantásra. Mindenki tudja, hogy a tárgy menedzsment Active Directory keresztül valósul GUI integrált mester vagy egy script. Van egy csomó irodalmat, amely leírja, hogyan kell írni egy forgatókönyvet, amely létrehoz egy felhasználói fiókot, kifejtették varázsló lépésről lépésre. Azonban nem találtam egy cikket, amelyben a kapcsolat mezőket és a golf mesterek Active Directory objektum számára egyértelműen leírni.

Létrehozása valamennyi forgatókönyv egy kezdő programozó vagy rendszergazda - ez a harc. Ahhoz, hogy nyerjünk, akkor kell, hogy legyen okos és találékonyság, keresni sok forrásból. Hát nem egyszerűbb, mint mondják, tedd a dolgokat «i»?

A típusú objektumok Active Directory

Ingatlan típusa határozza meg egy sor paramétert tárolt Active Directory a tömbben objectClass. Egyes értékek mindenhol jelen vannak, például Top, egyéb, szigorúan meghatározott célja. A redundancia szükséges értékeket kompatibilitás domain, amely alapján a Windows 2K és Windows NT.

Összeállításánál keresések csak egyedi értékeket objectClass tömb szűrőként használható az egyértelmű azonosításhoz. Az értékek számos eleme a különböző tárgyak metszik egymást.

1. táblázat kapcsolat típusú Active Directory-objektumok és értékek objectClass paraméter

Tárgy kereső fontolja után kapsz egy ötlet az Active Directory objektum modell.

Beállítások objektumok Active Directory

Minden paraméter tárgyat lehet három csoportba sorolhatók:

  • Kifejezetten kérte. Az értékek ezen paraméterek közvetlenül határozza meg a rendszergazdát. A legszembetűnőbb példa - a név az objektum.
  • meghatározott implicit. Ezek a paraméterek a rendszergazda állítja burkoltan. Ezek közé tartozik a típusát és helyét az objektum.
  • Rejtett tárgyakat. Ezek az objektumok hoznak létre, illetve módosítható a rendszerben. Segítségével egy script, vagy mester őket, mint általában, nem lehet változtatni. Ezek közé tartozik a SID és GUID az objektum, objektum létrehozásakor.

Active Directory Object Model

Leírás készül a stílus a Microsoft, vagyis használja ezt az információt „ahogy van” lehetetlen. Ez biztosítja az összes áramkört a katalógusban rettenetesen rövidített formában, anélkül, hogy példát.

1. ábra: Az Active Directory Explorer 1.01 A program megjelenése

menedzsment tárgyak Active Directory

Tekintsük az objektum folyamat szempontjából a kapcsolat szabványos eszközöket tartalmaz a Microsoft és az LDAP objektum modell.

Nézzük meg ezeknek a tevékenységeknek a példa a varázsló. Kezdjük egy felhasználói fiókot.

Tekintsük létrehozásának folyamatát egy felhasználói fiókot a varázsló segítségével és szoftver. Összehasonlítása a két módszer lehetővé teszi, hogy az olvasó megértse a kapcsolatot a mezők Active Directory és a mezők a varázsló. Nézzük először az alapelveket létre egy fiókot.

Felhasználói fiók létrehozása. alapelvek

2. ábra: Felhasználói fiók létrehozása

Látták: ha a mappa épül, annak neve határozza meg a CN paraméter. Az összes többi paraméter által azonosított paraméterek OU (szervezeti egység), mint például a OU = Teszt, CN = Felhasználó, DC = MSK, DC = ru.

A varázsló három részből áll. Nézzük meg mindegyik.

Míg Felhasználói fiók létrehozása az első lépés, meg kell adnia a nevét, a felhasználói név és apai. Adott esetben, meg mind a három paraméter elegendő az egyiket. Teljes név (Field 4) alapján kialakított neve által meghatározott első három területen. Értékét automatikusan generált, de a rendszergazda módosíthatja bármely más. Az első négy paraméter lehet később változtatni (lásd. Ábra. 3). Ehhez lépjen be a felhasználó tulajdonságait a lap «Általános» mutatja (alapértelmezett).

3. ábra A varázsló „Felhasználói fiók létrehozása”. 1. lépés

A második csoport a paraméterek - a felhasználó neve a hálózaton, és egy további nevet szeretne kapcsolni domének, amelyek alapján a Windows NT és a Windows 2K. Az Active Directory, hogy megfelelnek a beállítások userPrincipal neve és sAMAccountName. Mindegyik elnevezés két részből áll: a felhasználó nevét és az aktuális domain. A neve az aktuális domain meghatározása automatikusan történik, nem módosítható. A 2. táblázat a mezők részt az első lépésben a varázsló.

2. táblázat paraméterei a felhasználói fiókot. 1. lépés

Felhasználói név regisztráció a hálózaton a Windows NT számlák

A második lépésben a varázsló rendszergazda állítja be a felhasználó jelszavát, amelynek hossza határozza meg a «Minimum Jelszó hossza» tartomány biztonsági politika található «Számítógép konfigurációja -> Windows beállításai -> Biztonsági beállítások -> Fiókházirend -> Password Policy» Group Policy pillanatok alatt. Azzal a szándékkal veszi biztonsági politika.

Ábra. 4. ábra mutatja, hogy milyen paraméterei Active Directory kezelheti a rendszergazda létrehozása során egy felhasználói fiókot.

4. ábra: Job Wizard „Felhasználói fiók létrehozása”. 2. lépés

Ezek a paraméterek a következők:

Mindezek a lehetőségek kivéve setPassword, meg lehet változtatni a lap «fiók» felhasználói fiókot.

Befejezése után a második lépésként a varázsló, hogy lépjen a harmadik - a végső szakaszban, amelyben ellenőrzést végeznek, mielőtt a beállított paraméterek (lásd az 5. ábrát ..).

5. ábra: A varázsló „Felhasználói fiók létrehozása”. 3. lépés:

A következő információkat párbeszédablak:

  • a felhasználó tartózkodási helyét az Active Directory;
  • A felhasználó megjelenített nevét a hálózaton;
  • Felhasználói nevet hálózati bejelentkezési;
  • a biztonsági beállításokat, amelyek meghatározott, a második lépésben a varázsló.

Ebben a szakaszban lehetetlen közvetlenül módosíthatja az adatokat. Ha állítani a paramétereket vissza kell menni, egy lépésben vagy két lépésben vissza (lásd. Ábra. 5).

Felhasználói fiók létrehozása. varázsló

Hozzon létre egy felhasználói fiókot a varázsló. Input adatok a 3. táblázat tartalmazza.

3. táblázat A kezdeti adatok létrehozása egy felhasználói fiókot

Tekintsük a lépéseket, hogy létrehozzon egy fiókot.

A megjelenő párbeszédpanelen töltse ki a mezőket adatai szerint oszlopban megadott „érték” a 3. táblázat Megjegyezzük, hogy a töltés után az első három mezőt az átmenet a negyedik, akkor automatikusan kitölti (lásd. Ábra. 6.).

6. ábra: A munka a mester. 1. lépés

A felhasználó a hálózat nevét, regisztrációs határozza meg a rendszergazdát. Alapján a bevitt adatok automatikusan létrejön nevet a támogatás egy bizalmi kapcsolat a domain Windows NT, amit meg lehet változtatni.

A második lépésben meg kell adnia a jelszót és erősítse meg. Szerint a jelszó feladat, a következő ajánlásokat:

  • A jelszavak esetben érzékeny;
  • használja a számok jelszavak;
  • Ajánlott jelszó hossza - legalább 7 karakter;
  • A jelszó nem használ szimbólumokat «/ \ |:;, + *?<>;
  • Ne használja a jelszó a felhasználói fiók nevét;
  • Ne használjon nyilvánvaló jelszavakat, mint például a 0123456789.

Végrehajtásának nyomon követése néhány ilyen követelményeket lehet rendelni a csoport doménházirendjeinek. A fennmaradó négy biztonsági beállítás változatlan marad (lásd. Ábra. 7).

7. ábra: A munka a mester. 2. lépés

Végül, az utolsó szakaszban követjük sor paramétert (lásd. Ábra. 8).

8. ábra: A munka a mester. 3. lépés:

Szoftver Felhasználói fiók létrehozása

Míg Felhasználói fiók létrehozása programozott (VBScript), mint a munka, a mester, meg kell követelni, hogy bizonyos paramétereket. 1. kódrészlet egy szkript, amely lehetővé teszi, hogy hozzon létre egy felhasználói fiókot. Az eredmény a script azonos a mester, amely akkor volt az az előző szakaszban. A 4. táblázat a paraméterek és értékeik kell beállítani az Active Directory.

4. táblázat paraméterei szkript egy felhasználói fiókot

Az útvonal a létrehozott fiókot

A szkript fut a következő algoritmus: először határozta meg a jelenlegi domain nevet hivatkozva a virtuális tárgy RootDSE és transzformált DetectDNSName funkció rövid domain név. A szkript a vegyület és rövidített neve a domain. Composite domain név is részt vesz a kialakulását a módja annak, hogy egy tárgy, rövidítve - nevet hozzárendelni, hogy egy objektum kompatibilis a Windows NT tartomány.

Ezután létrehoz egy objektumot a Create funkciót. Ahogy a paraméterek által meghatározott objektum nevét és típusát. Állítsa be a paramétereket az eladási funkció, és rögzíti azokat az Active Directory használatával SetInfo módszerrel.

1. lista Felhasználói fiók létrehozása

meghatározott RootDSE = GetObject ( "LDAP: // RootDSE")

Állítsa objUsers = GetObject ( "LDAP: // CN = Users" Domain)

Állítsa objNewUser = objUsers.Create ( "user", "cn = Ivan \ Petrov")

objNewUser.Put "sAMAccountName", "IPetrov"

objNewUser.Put "sn", "Petrov"

objNewUser.Put "givenName", "Ivan"

objNewUser.Put "Initials", "V"

objNewUser.Put "userPrincipalName", "IPetrov @" DetectDNSName (Domain)

„DNS-tartománynév Definition

For Each El LDAPArray

DNSName = DNSName + jobb (El, Len (El) -3) + ""

DetectDNSName = bal (DNSName, Len (DNSName) -1)

Ebben a forgatókönyvben van néhány jellemzője, hogy szükség van a figyelmet:

9. ábra VBScript. A hiba a script

  • UserPrincipalName paraméter értéke tartalmazza az utótagot, ebben az esetben @ msk.ru. Ők a jelenlegi DNS-tartománynév. A jelenlegi forgatókönyv DetectDNSName funkció, amely átalakítja az LDAP-nevet a DNS-nevét.
  • AccountDisabled tulajdonság értéke nem változtatható meg, amíg az objektum nem létezik, azonban SetInfo módszert alkalmazzák kétszer a forgatókönyvet.

10. ábra: Felhasználói fiók beállításai a varázsló által létrehozott

Objektumok létrehozásához. Az általános eset

Miután részletes vizsgálatát létrehozásának folyamatát egy felhasználói fiókot, itt az ideje, hogy az eredeti eredményt, és hozzon létre egy sablont (lásd. 2. listát), amely lehetővé teszi, hogy hozzon létre felhasználói fiókok különböző típusú objektumok. Ahhoz, hogy hozzon létre egy objektumot kell állítani legalább három lehetőséget, és olyan lehetőségek, amelyek specifikusak az ilyen típusú objektumokra. Kötelező paraméterek közé utat az objektum nevét és típusát.

2. lista sablon objektumok létrehozására Active Directory

meghatározott RootDSE = GetObject ( "LDAP: // RootDSE")

Állítsa objs = GetOb j ect ( "LDAP: //" + A mappa elérési + " Domain)

Állítsa obj = objs.Create ( "típusú objektívek", "tárgy neve")

obj.Put "FIELD String az Active Directory", "érték"

obj.Put "Field Array Active Directory" Array ( "value1", "value2", "value3" ...)

Az első két sor a sablon segítségével a virtuális tárgy határozza RootDSE LDAP-áram domain nevet. Használata GetObject () függvény, hogy hozzáférjen a mappát, ahol az objektum jön létre. A negyedik vonal a Create (), amelynek két paramétert hozzon létre egy objektumot. Az első paraméter a függvény - az objektum típusát jön létre, a második - a nevét a tartományban. Ezután a Put () függvény végzi értékadásra jellemző paramétereket. Végül az adatok rögzítésére rendelt katalógus segítségével SetInfo () függvényt.

Megjegyzés: a két utolsó sablon vonalak. Úgy hajtjuk megbízás paraméter értékeket, amelyek egy string adattípus, és egy tömböt. Ha a beállítási értékeket tömb feltétlenül használják kulcsszó Array, amellyel azonnal kijelentik és meghatározzák az értékek a tömb elemeit. Ennek alapján a létrehozott sablon példát hozzon létre egy csoportot figyelembe (lásd. 3. listát) és mappák (lásd. 4. listát).

3. lista létrehozása biztonsági csoportot figyelembe

meghatározott RootDSE = GetObject ( "LDAP: // RootDSE")

Állítsa objGroups = GetObject ( "LDAP: // CN = teszt, CN = Groups" Domain)

Állítsa objGrous = objGroups.Create ( "csoport", "cn = Print kezelése")

objGroup.Put "sAMAccountName", "Nyomtatás kezelése"

4. lista létrehozása mappát fiók

meghatározott RootDSE = GetObject ( "LDAP: // RootDSE")

Állítsa objOUs = GetObject ( "LDAP: // CN = Users" Domain)

Állítsa objOU = objOUs.Create ( "organizationalUnit", "ou = Test")

A következő alkalommal a módszer az olvasás a különböző paramétereket a felhasználói fiók, a különböző típusú adatok tárgyaljuk részletesen.