Лабораторная работа № 4

1.1 Для упрощения дальнейшей работы с файлами и папками на сервере установите диспетчер ресурсов файлового сервера. Выбранная роль находится в разделе «Файловые службы и службы хранилища» (рисунок 1.1).

Рисунок 1.1 – Установка диспетчера ресурсов файлового сервера

1.2 Откройте диспетчер сервера и перейдите на файловые службы и службы хранилища. Выберите раздел «Общие ресурсы» и добавьте новый общий ресурс (либо с помощью контекстного меню, либо через Задачи → Новый общий ресурс). Профиль ресурса – Общий ресурс SMB – дополнительные (рисунок 1.2)

Рисунок 1.2 – Выбор типа общего ресурса

1.3 На шаге «Расположение общего ресурса» оставляем параметры по умолчанию. На шаге «Выбор имени общего ресурса» введите имя ресурса – Profiles (рисунок 1.3).

Рисунок 1.3 – Задание имени общему ресурсу

1.4 На шаге «Другие параметры» оставляем по умолчанию настройку параметров общего ресурса. На шаге «Разрешения» зададим свойства безопасности для пользователей домена, нажав на кнопку «Настройка разрешений…». Порядок установки разрешений следующий:

а. отключаем наследование. Выбираем при этом «Преобразовать унаследованные разрешения в явные разрешения этого объекта»;

б. удаляем все разрешения для групп «Пользователи»;

в. добавляем разрешение на чтение для группы «Прошедшие проверку». Для этого в окне «Дополнительные параметры безопасности» на вкладке «Разрешения» нажимаем кнопку «Добавить», а затем кликаем по ссылке «Выберите субъект». В открывшемся окне вводим «Прошедшие проверку» и нажимаем «Проверить имена» → ОК. Устанавливаем разрешение на чтение и применяем его только для этой папки (рисунок 1.4).

Рисунок 1.4 – Задание разрешений для каталога Profiles

г. на шаге «Свойства управления папкой» ничего не отмечаем. На шаге «Квота» выбираем «Не применять квоту». В конце нажимаем кнопку «Создать»;

е. откройте проводник и перейдите в свойства созданного каталога Profiles. На вкладке «Доступ» выберите «Расширенная настройка» → «Разрешения». Удалите группу «Все», а затем добавьте группу «Прошедшие проверку» и назначьте ей полный доступ (рисунок 1.5).

Замечание:

Если не задать разрешения, показанные на рисунке 1.5, или задать их только на чтение, то впоследствии система не сможет создавать профили пользователей в данном каталоге.

Рисунок 1.5 – Задание разрешений для каталога Profiles

Замечание:

В реальной сети для хранения профилей пользователей целесообразно отводить отдельный винчестер или даже отдельный файловый сервер. Это позволит разгрузить сервер-контроллер домена.

2.1 Откройте оснастку «Пользователи и компьютеры Active Directory». В домене testdomain.local создайте новое подразделение Students. Для этого щелкните правой кнопкой мыши по названию домена и выберите Создать → Подразделение (рисунок 2.1).

Рисунок 2.1 – Создание нового подразделения в Active Directory

2.2 В подразделении Students создайте нового пользователя c учетной записью testprofile. При вводе реквизитов укажите свою фамилию и имя. На следующем шаге придумайте пароль для входа в систему (рисунок 2.2).

Рисунок 2.2 – Этапы создания нового пользователя домена

2.3 Откройте свойства созданного пользователя и на вкладке «Профиль» укажите путь к профилю и путь к домашней папке. Заполненные данные представлены на рисунке 2.3.

Рисунок 2.3 – Указание пути к профилю и домашней папке

2.4 Выполните вход на компьютере-клиенте под учетной записью testprofile. Создайте на рабочем столе или в документах файл или папку. Выйдите из системы на компьютере-клиенте и зайдите в систему снова. При этом нужно убедиться в следующем:

а. на компьютере-клиенте в каталоге C:\Users (С:\Пользователи) создалась локальная копия профиля;

б. при выходе из системы на сервере в каталоге Profiles должен создаться каталог testprofile;

в. при выходе из системы нет ошибок вида «Перемещаемый профиль пользователя не был полностью синхронизирован»;

г. при входе в систему нет ошибок вида «Вход в систему выполнен c временным профилем. Любые изменения не будут синхронизированы при выходе из системы».

Если возникает какая-то из указанных выше ошибок, то необходимо просмотреть журнал событий на компьютере-клиенте. Анализ записей журнала позволит найти причину появления ошибки, а, соответственно, и способ ее устранения.

Замечание:

Если вы попытаетесь просмотреть содержимое каталога testprofile на сервере, то вам будет отказано в доступе, даже несмотря на то, что вы являетесь администратором домена. Причина в том, что данный каталог создала система, следовательно она будет являться владельцем каталога. Для просмотра содержимого необходимо в свойствах каталога testprofile (вкладка «Безопасность» → Дополнительно) изменить текущего владельца, указав в качестве его группу «Администраторы». Затем в свойствах безопасности снова назначить пользователю testprofile полный доступ на папку.

При создании большого числа пользователей (например, в ситуации, когда в начале учебного года в учреждение образования поступает 500 новых учащихся) пользоваться графическим интерфейсом не удобно. К тому же это займет достаточно много времени. Существуют команды, позволяющие выполнять указанные операции значительно быстрее. К такой команде относится команда Dsadd user.

Ниже приведен список параметров этой команды:

UserDN - Задает различающееся имя добавляемого объекта-пользователя.

-samid. Устанавливает значение SAMName;

SAMName - Задает имя диспетчера учетных записей безопасности (SAM) как уникальное имя учетной записи SAM для данного пользователя (например, Vasja). Если имя SAM не указано, dsadd попытается создать имя учетной записи SAM, используя до 20 первых символов обычного имени (CN) UserDN;

-pwd. Устанавливает значение пароля;

Password - Задает пароль для использования в учетной записи пользователя. Если для этого параметра установлено значение *, выводится запрос на ввод пароля.

3.1 Создайте в Active Directory учетные записи для 100 пользователей. Самостоятельно выберите формат учетной записи пользователя. Объясните свой выбор.

3.2 Создайте файл create_user.bat со следующим содержимым:

С помощью команд из данного файла будут создаваться каталоги для хранения профилей пользователя, создаваться пользователь, назначаться права на домашнюю папку.

3.3 Как видно из синтаксиса, входными параметрами для выполнения команд из данного файла являются: nazvanieProfilya, parol, fio. В связи с этим, необходимо создать еще один файл students.bat, в котором будут вызываться на исполнение файл create_user.bat с необходимыми параметрами. Пример строк из данного файла приведен ниже:

Дельный совет:

Как правило, системному администратору списки пользователей, которым нужны учетные записи в домене, поступают в готовом (электронном) виде. Для упрощения процесса подготовки файла students.bat рекомендуется создать в Excel таблицу по аналогии с представленной на рисунке 3.1. После заполнения всех строк таблицы ее следует сохранить в формат *.csv, а затем преобразовать в текстовый файл. В txt-файле остается заменить все разделители на пробел, изменить при необходимости кодировку и изменить расширение файла на *.bat.

Рисунок 3.1 – Возможный вариант электронной таблицы для подготовки файла students.bat

Замечание:

Использование кириллицы при создании исполняемых файлов Windows может привести к появлению символов псевдографики. Для того чтобы этого избежать, перед запуском файла необходимо просмотреть его через редактор «Блокнот» или (лучше всего) через программу просмотра Lister, вызываемой клавишей F3 из файлового менеджера Total Commander. Если кириллица будет отображаться некорректно, необходимо будет исправить кодировку на OEM 866 с помощью редактора Notepad++

3.4 Запустите созданный вами файл students.bat, содержащий данные только для одного пользователя. Убедитесь в том, что команды выполнились успешно, и в Active Directory данные о пользователе отображаются корректно. Если тест прошел удачно, то добавьте в файл остальные записи и запустите его на выполнение. На рисунке 3.2 показан процесс создания одного пользователя.

Рисунок 3.2 – Результат работы исполняемого файла students.bat

3.5 Так как команда dsadd user не поддерживает параметр -ou, то все созданные пользователи будут находиться в корне testdomain.local дерева каталогов Active Directory. Возможно, потребуется обновить содержимое каталога. Выделите всех пользователей и мышью переместите их в подразделение Students.

3.6 Выполните вход в домен с клиентского компьютера под одной из созданных вами учетных записей. Создайте на рабочем столе или в документах файл или папку. По аналогии с пунктом 2.4 убедитесь в синхронизации локальной копии профиля с серверной и в отсутствии ошибок при входе в систему и выходе из системы. Результат тестирования должен выглядеть следующим образом:

Рисунок 3.3 – Результат тестирования созданного профиля пользователя

3.7 Убедитесь, зайдя с компьютера-клиента на сервер, что пользователь имеет доступ только к своей папке в каталоге \\server1\Profiles (рисунок 3.4)

Рисунок 3.4 – Тестирование разрешений на каталог \\Server1\Profiles

3.8 Зайдите в домен с виртуальной машины, на которой установлена Windows XP, под той же учетной записью, под которой входили на клиенте с Windows 7. Выйдите из системы. Убедитесь на сервере, что для этой учетной записи создано 2 профиля: в папке Profile находятся файлы профиля, созданного под Windows XP, в папке Profile.V2 – файлы профиля, созданного под Windows 7.