Лабораторная работа № 5


Тема:

  Создание групп пользователей в Active Directory и управление ими. Создание и настройка разделяемых ресурсов на сервере. Работа с групповыми политиками


Цель:

  Изучить возможности создания и управления группами пользователей, научиться создавать и конфигурировать разделяемые ресурсы. Познакомиться с механизмами групповых политик




Задание 1. Создание групп в Active Directory.

1.1 Зайдите на машину server1 под учетной записью администратора. Откройте оснастку Пользователи и компьютеры Active Directory. В подразделении Students создайте три глобальные группы. Тип группы: Безопасность. Имена групп: Kurs1; Kurs2; Kurs3.

1.2 Распределите созданных на предыдущем занятии пользователей по группам, чтобы в каждой группе было примерно одинаковое их количество.

1.3 Создайте глобальную группу безопасности средствами командной строки. Имя группы blacklist. Для этого воспользуйтесь командой Dsadd group DN_группы –дополнительные параметры. Команда имеет следующие дополнительные параметры:

-secgrp. Данный параметр указывает тип группы: безопасности (yes) или распространения (no). Если параметр не указан, то по умолчанию значением данного параметра считается yes;

-scope. Текущий параметр задает область действия группы. Доступные параметры: локальная в домене (l), глобальная (g) или универсальная (u). По умолчанию, также как и при помощи графического интерфейса, область действия назначается глобальной;

-samid. Этот параметр определяет использование для данной группы SAM имени, как уникального атрибута sAMAccountName группы. Желательно имя для sAMAccountName и группы указывать идентичные;

-desc. Данный параметр отвечает за краткое описание группы;

-memberof. Этот параметр назначает одну или несколько групп, к которым требуется добавить новую. Если групп несколько, то их следует добавлять через пробел;

-members. При помощи этого параметра вы можете добавить членов в группу. Члены должны указываться в виде DN-имен и разделяться пробелами.

Пример использования команды:

Dsadd group «CN=blacklist, OU=Students, DC=testdomain, DC=local» -secgrp yes -scope g -samid «blacklist» -desc «Черный список»

1.4 Сохраните файл *.bat с командой, чтобы потом продемонстрировать его преподавателю.

1.5 Добавьте в эту группу пользователя testprofile.


Задание 2. Создание разделяемых ресурсов на сервере. Назначение прав доступа к ресурсу.

2.1 Создайте на сервере три общие папки. Имена каталогов: 001Kurs1, 002Kurs2, 003Kurs3. Назначьте соответствующим группам права доступа Чтение.

2.2 На компьютере-клиенте войдите в домен под одной из учетных записей каждой из групп и проверьте действие разрешений.

2.3 Создайте в каталоге 001Kurs1 еще одну папку Временная и назначьте участникам группы Kurs1 права на чтение и запись только для этой папки. Проверьте действие назначенных разрешений с компьютера-клиента.


Задание 3. Проверка приоритета операции запрета на доступ к ресурсам.

Для группы «Черный список» повторите операции п. 2.1, выставив флажки в полях «Запретить» в окне редактирования свойств безопасности общих папок. Добавьте в группу по одному пользователю из групп Kurs1, Kurs2, Kurs3, не удаляя при этом его из указанной группы (т.е. пользователь будет являться членом обеих групп). Проверьте действие разрешений с компьютера-клиента.


Замечание:

Если необходимо установить запрет, например, на чтение содержимого ресурса рекомендуется просто не устанавливать соответствующее разрешение, чем ставить запрет напрямую. Это связано с тем, что операция запрета имеет более высокий приоритет по сравнению с операцией разрешения.


Задание 4. Сопоставление сетевых дисков средствами групповой политики (способ 1).

4.1 Откройте оснастку «Управление групповой политикой» (Пуск - Средства администрирования). Перейдите в дереве до ветки «Объекты групповой политики» (рисунок 4.1).


Рисунок 4.1 – Интерфейс управления групповыми политиками


4.2 Создайте в данной ветке новый объект групповой политики «Сопоставление дисков» (ПКМ - Создать). Щелкните по созданному объекту GPO ПКМ и выберите команду «Изменить». Откроется редактор управления групповыми политиками;

4.3 В оснастке «Редактор управления групповыми политиками» в дереве консоли разверните узел Конфигурация пользователя - Настройка - Конфигурация Windows и выберите узел «Сопоставления дисков». Щелкните на данном узле ПКМ и из контекстного меню последовательно выберите команды «Создать» и «Сопоставленный диск» (рисунок 4.2).


Рисунок 4.2 – Создание сопоставляемого диска


4.4 В отобразившемся диалоговом окне «Новые свойства диска», на вкладке «Общие» выставьте настройки в соответствии с рисунком 4.3.


Рисунок 4.3 – Настройка сопоставляемого диска


4.5 Переключитесь на вкладку «Общие параметры». Для сопоставления элемента групповой политики только конкретной группе пользователей из подразделения необходимо указать данную группу в редакторе нацеливания. Для этого поставьте флажок «Нацеливание на уровень элемента» и нажмите кнопку «Нацеливание». В редакторе нацеливания выберите «Создать элемент - Группа безопасности» (рисунок 4.4). Сделайте нацеливание на группу Kurs1.


Рисунок 4.4 – Создание нацеливания


4.6 На следующем шаге необходимо привязать объект GPO к подразделению Students и применить изменения. Для этого, в дереве консоли оснастки «Управление групповой политикой» выберите подразделение Students, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики» (рисунок 4.5). В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите созданный объект групповой политики «Сопоставление дисков» и нажмите на кнопку «ОК».


Рисунок 4.5 – Связывание объекта групповой политики с подразделением


4.7 Выполните обновление групповой политики.

4.8 Для проверки работоспособности политики сопоставления дисков выполните вход с клиентской машины под любой учетной записью, принадлежащей группе Kurs1. Результат выполнения задания представлен на рисунке 4.6.


Рисунок 4.6 – Результат выполнения задания


Замечание:

При использовании данного способа сопоставление дисков может не работать на компьютерах-клиентах с операционной системой Windows XP. Для восстановления работоспособности политики на компьютерах-клиентах достаточно установить обновление KB943729.


Задание 5. Сопоставление сетевых дисков средствами групповой политики (способ 2).

5.1 Выполните сопоставление сетевых дисков для пользователей групп Kurs2 и Kurs3. Для этого подготовьте файл сценария, создав на виртуальной машине VBScript-файл disk_mapping.vbs. Рекомендуется использовать для этого редактор notepad++.

5.2 Откройте файл для редактирования и введите представленный ниже код. Сохраните файл.



5.3 Откройте редактор групповой политики «Сопоставление дисков». Перейдите в дереве по пути Конфигурация пользователя - Политики - Конфигурация Windows - Сценарии (вход/выход из системы). Дважды щелкните по элементу «Вход в систему». Откроется окно свойств (рисунок 5.1).


Рисунок 5.1 – Окно сценариев входа в систему редактора групповой политики


5.2 Нажмите кнопку «Добавить». Откроется окно «Добавление сценария». Рядом с полем «Имя сценария» нажмите кнопку «Обзор» и перетащите мышью в открывшееся окно созданный на предыдущем шаге файл скрипта. Сохраните изменения. Обновите групповую политику.

5.3 Зайдите на компьютере-клиенте под учетными записями пользователей из групп Kurs2 и Kurs3 и проверьте работу групповой политики. Если все сделано верно, при входе пользователя в систему logon-скрипт подключит нужный сетевой диск. Если будут допущены ошибки в написании скрипта, они будут видны при входе пользователя на компьютере-клиенте.


Замечание:

Данный способ работает безотказно во всех случаях. Однако, если диски все-таки не будут монтироваться, то на компьютерах-клиентах необходимо будет внести правку в реестр. В ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System создайте параметр DWORD с именем EnableLinkedConnections и присвойте ему значение 1. После этого перезагрузите компьютер.


Задание 6. Перенаправление папок «Мои документы» и «Рабочий стол» (выполняется самостоятельно, результат выполнения оценивается отметкой 8-10 баллов в зависимости от степени самостоятельности при выполнении задания).

Из лабораторной работы №4 вы узнали, что профили пользователей хранятся в разных папках в зависимости от того, какая операционная система установлена на компьютере-клиенте. Как следствие, часто возникает следующая ситуация: пользователь, работая на ПК под управлением Windows 7, сохранил на рабочем столе файлы, но, зайдя следующий раз в сеть на компьютере с Windows 10, этих файлов не обнаружил. Этот факт вносит путаницу для неопытного пользователя, поскольку пользователь зачастую не знает о данной особенности хранения профилей.


Вам предлагается избавить пользователей от проблем с поиском информации, сохраненной на профиле с компьютеров под управлением разных ОС. Пользуясь интернет-источниками, реализуйте средствами групповой политики перенаправление папок «Мои документы» и «Рабочий стол» в корень профиля. Создайте и настройте для этого отдельную групповую политику. Продемонстрируйте результат преподавателю.