Рол. УП 04.01 Администрирование_ИСИП3А_НЕ ВСЕ. Методические указания для студентов по учебной практике Системное администрирование
Скачать 3.05 Mb.
|
Практическая работа №7 Установка ОС Windows Server 2012 R2. Создание домена Windows Server 2012 R2 Цель: изучить процесс установки ОС, способы создания учетных записей, методы настройки локальной сети. Студент должен: знать: Научиться работать с виртуальными машинами Научиться настраивать сетевые параметры компьютера Изучить утилиты диагностики TCP/IP уметь: Устанавливать ОС Windows Server 2012 R2 Создавать учетные записи пользователей и настраивать параметры локальной сети. Теоретические основы Домен представляет собой некоторое число компьютеров, имеющих общую базу данных, общие политики безопасности и является управляемым объектом, в то время как обычная сеть просто объединяет между собой компьютеры, предоставляя бесконтрольный доступ к открытым ресурсам. Домен представляет собой единый и целостный управляемый объект. Домен имеет как минимум один сервер, осуществляющий функцию контроллера домена. Контроллер домена позволяет централизованно осуществлять контроль над сетью, конфигурировать компьютеры, подключенные к домену. Доменная система позволяет в значительной степени повысить безопасность сети, управляя разрешениями, политиками безопасности. Это значит, что без ведома администратора домена, никто не может легально, самостоятельно подключиться к сети и получить доступ ко всей информации в сети. Компьютеры – члены домена подконтрольны контроллеру домена. Для того, что бы обновить программное обеспечение, изменить настройки и тому подобное, нет необходимости обходить каждый компьютер в доменной сети и все делать вручную. Все можно сделать через контроллер домена. Организуем сеть с использованием домена. Для этого необходимо создать новый виртуальный диск, на который установить образ ОС Windows Server 2008 (ru_windows_server_2008_with_sp2_x86_dvd_x15-41085). При этом укажите размер оперативной памяти около 2 Гб. Теперь приступаем к установке Windows Server 2008. Из предложенных ОС выбираем Windows Server Enterprise (Полная установка) Нажимаем далее и принимаем Лицензионное соглашение. Незанятое пространство разбиваем на 2 раздела и в один из разделов устанавливаем нашу ОС. Далее следуем шагам мастера установки. Изучить утилиту диагностики TCP/IP IPconfig. На виртуальной машине запустите командную Пуск – Выполнить – Командная строка Выясните назначение параметров утилиты, пользуясь ключом /?: ipconfig /? # Выпишите назначение следующих ключей утилиты ipconfig: /all, /release, /renew. Выполните утилиту IPconfig с ключом /all. Отметьте, что при наличии нескольких сетевых адаптеров информация о сетевых параметрах выводится отдельно для каждого из них. Выпишите следующие данные (только для адаптера локальной сети): – имя компьютера – IP-адрес – маску подсети – основной шлюз по умолчанию – адреса DNS-серверов – физический адрес. Назначить своей виртуальной машине заданные сетевые параметры. Откройте окно Сетевые соединения Пуск – Панель управления – Сетевые соединения. Щелкните два раза на значке Подключение по локальной сети. Отобразится информация о текущих сетевых параметрах и активности сети. Нажмите на кнопку Свойства и два раза щелкните в окне установленных компонентов на Протокол TCP/IP 4. Отобразится окно свойств протокола. Здесь можно задать IP-адрес и маску сервера. Проверить сетевые настройки можно с помощью утилиты IPconfig. Полезным бывает делать скриншоты в виртуальной среде. Для создания скриншота откройте окно виртуальной машины и выделите мышью нужный фрагмент экрана. Нажмите Правый Alt + C (обязательно на латинской раскладке), выделенная часть экрана скопируется в буфер обмена. Теперь его можно вставить в графический редактор или в Microsoft Word. Чтобы сделать снимок всего рабочего стола виртуальной машины, нажмите Правый Alt + A, затем Правый Alt + C. Создание домена Windows Server 2008 Перед тем, как приступить к установке ActiveDirectory, нужно провести начальную настройку Windows Server 2008: Назначить уникальное имя сервера; Настроить сетевое подключение; Включить и настроить удаленный рабочий стол. Открываем центр управления сетями: Выбираем команду Управление сетевыми подключениями: Свойства сетевого подключения Настраиваем протокол Интернета 4 (TCP/IP) После чего переходим непосредственно к добавлению роли Active Directory. Это конечно можно сделать, используя интерфейс Windows или командную строку, но в этот раз мы воспользуемся графическим интерфейсом. Для запуска процесса установки и конфигурирования контроллера домена ActiveDirectory – открываем командную строку и выполняем команду Dcpromo.exe. Далее следуем шагам мастера: Создаем новый домен в новом лесу Вводим доменное имя Выбираем режим работы леса Windows server 2008. Устанавливаем дополнительные параметры – службу DNS Далее продолжаем следовать шагам мастера установки Прописываем и запоминаем пароль администратора домена!!! Ожидаеам настройки несколько минут. Завершаем установку доменных служб ActiveDirectory Перезагружаем компьютер и убеждаемся, что роли DNS и ActiveDirectory успешно установлены: Пуск / Администрирование / Диспетчер сервера Теперь можно приступить к работе – построению структуры вашей сети Пуск / Администрирование / ActiveDirectory – пользователи и компьютеры Практическая часть Установите Windows Server 2012 R2 Согласно заданию проекта установите домен со своим именем, где контроллером домена является server с IP-адресом 192.168.5.199. Отчет по практической работе: ФИО студента Название, цель Практическая часть Опишите все практические опыты Контрольные вопросы: Как узнать физический адрес компьютера? Нужно ли перезапускать компьютер, чтобы изменения вступили в силу, если изменяются следующие параметры: • настройки стека TCP/IP; • имя рабочей группы; • имя компьютера? Как определить IP-адрес удаленного узла, зная только его имя? Опишите различия между рабочей группой и доменом. Каково основное различие между ОС Windows 7 и Windows Server 2008? Дайте определение контроллера домена. Почему встроенная учетная запись Guest (Гость), как правило, бывает отключена? Практическая работа №8 Присоединение компьютера к домену. Публикация ресурсов в ActiveDirectory Цель: научиться присоединять компьютеры к домену; изучить способы публикации ресурсов; научиться задавать и изменять права доступа; запускать приложения от имени другого пользователя. Теоретические основы Для присоединения компьютера к домену необходимо первоначально изменить сетевые настройки на рабочей станции, указав в качестве параметра Предпочитаемый DNS сервер IP адрес сервера. Затем на рабочей станции следует открыть окно Свойства системы, выполнив одну из команд Настройка – Панель управления – Система или вызвать из контекстного меню окно свойств папки Мой компьютер. Перейдите на вкладку Имя компьютера. Выберите Изменить. Укажите переключатель Домен, укажите имя домена. В появившемся окне система потребует данные администратора домена. • Username – Aдминистратор • Password – текущий пароль администратора домена Нажмите Ok и перезагружаем компьютер. Проверьте подключение в дереве домена. Публикация ресурсов в ActiveDirectory Еще один объект, который можно публиковать в Active Directory - это объект sharedfolder(общая папка). Чтобы опубликовать общую папку в Active Directory, найдите нужный контейнер. Щелкните правой кнопкой мыши на контейнере и выберите New (HoBbm)>Shared Folder (Общая папка). Затем напечатайте имя объекта Active Directory, а также UNC-путь для общей папки. После того как в Active Directory будет создан объект shared folder, пользователи могут просматривать и искать его в Active Directory. Найдя объект sharedfolder, пользователи щелчком правой кнопкой мыши на объекте могут отобразить диск на общую папку. Основное преимущество публикации общей папки в Active Directory состоит в том, что пользователи могут искать общие ресурсы, основываясь на разнообразных свойствах. Ограничение, связанное с публикацией общих папок в Active Directory, состоит в том, что, если общая папка переместится на другой сервер, то все клиенты, имеющие диски, отображенные на эту общую папку, обнаружат, что отображение больше не работает. Это произойдет, потому что при отображении клиентского диска на общую папку в Active Directory используется UNC-путь к ресурсу. Например, вы можете создать и опубликовать общую папку по имени Saleslnfo, которая указывает на \\Server1\SalesInfo. Когда пользователь находит эту общую папку в Active Directory и отображает диск, то для отображения диска используется синтаксис \\Serverl\SalesInfo. Если папка переместится, отображение диска перестанет действовать, даже если вы сделаете изменения в Active Directory так, чтобы объект указывал на новое место расположения. При публикации папки необходимо быть внимательным. Система не выполняет проверки введенного имени папки. В том случае, если при публикации была допущена ошибка, пользователи не смогут подключиться к указанной папке. Настройка разрешений для общих папок Разрешения общего доступа применяются для пользователей, подключающихся к общей папке по сети. Чтобы настроить разрешения для пользователей воспользуйтесь параметрами вкладки Безопасность вместо вкладки Разрешения для общего ресурса. Здесь задаются разрешения на уровне файловой системы NTFS. Если для общей папки указаны как разрешения общего доступа, так и разрешения файловой системы, при подключении к этой папке будут применяться более строгие разрешения. Например, чтобы предоставить разрешение Чтение на доступ к общей папке для пользователей данного домена, на вкладке Разрешения для общего ресурса установите для группы Все разрешение Полный доступ. На вкладке Безопасность задайте более строгие параметры доступа, предоставив группе Пользователи домена разрешение доступа Чтение. В результате пользователи, входящие в группу Пользователи домена, будут иметь к данной общей папке доступ только на чтение как при подключении по сети или через удаленный рабочий стол, так и при локальном входе в систему. Практическая часть Включите в домен рабочую станцию Создайте папку с общим доступом Документы. Установите различные права доступа. Выполните проверку разрешений и прав доступа. Например, зарегистрируйтесь под разными учетными записями и попытайтесь получить доступ к общей папке. Для этого необходимо на сервере создать пользователя – доменную учетную запись (см. рисунок выше). Опишите возможные разрешения. Отчет по практической работе: ФИО студента Название, цель Практическая часть Опишите практические опыты (1-3) Контрольные вопросы: Как определить, является ли компьютер членом домена или рабочей группы? Какие разрешения существуют для общих папок? Может ли пользователь запретить доступ администратору к своей папке? Сможет ли администратор в этом случае вернуть права? Опишите права субъектов доступа: Владелец, Совладелец, Соавтор, Читатель Практическая работа №9 Создание и администрирование учетных записей и групп Цель: научиться создавать, изменять удалять учетные записи и группы; научиться задавать и изменять пароли; научиться добавлять учетные записи в группы. Теоретические основы Создание нового пользователя Для управления объектами AD используется ActiveDirectory – Пользователи и компьютеры, которая, также может быть вызвана через меню «Выполнить» посредством DSA.MSC. С помощью ADUC можно создавать и удалять пользователей, назначать сценарии входа для учетной записи, управлять членством в группах и групповыми политиками. Существует также возможность для управления объектами AD без обращения к серверу напрямую. Ее обеспечивает пакет ADMINPAK.MSI, расположенный в директории «%SYSTEM_DRIVE%\Windows\system32». Развернув его на своей машине и наделив себя правами администратора домена (если таковых не было), вы сможете администрировать домен. При открытии ADUC мы увидим ветку нашего домена, содержащую пять контейнеров и организационных единиц. Builtin. Здесь содержатся встроенные локальные группы, которые есть на любой серверной машине, включая и контроллеры домена. Users и Computers. Это контейнеры, в которые по умолчанию размещаются пользователи, группы и учетные записи компьютеров при установке системы поверх WindowsNT. Но для создания и хранения новых учетных записей нет необходимости пользоваться только этими контейнерами, пользователя можно создать даже в контейнере домена. При включении компьютера в домен он появляется именно в контейнере Computers. DomainControllers. Это организационная единица (OU, OrganizationalUnit), содержащая по умолчанию контроллеры домена. При создании нового контроллера он появляется здесь. ForeignSecurityPrincipals. Это контейнер по умолчанию для объектов из внешних доверяемых доменов. Важно помнить, что объекты групповых политик привязываются исключительно к домену, OU или сайту. Это нужно учитывать при создании административной иерархии вашего домена. Создаем пользователя домена Для создания пользователя нужно выбрать любой контейнер, в котором он будет располагаться (например, подразделение Студенты), нажать на нем правой кнопкой мыши и выбрать «Создать -> Пользователь». Откроется мастер создания пользователя. Здесь вы сможете указать множество его атрибутов, начиная с имени пользователя и временными рамками входа в домен и заканчивая настройками для терминальных служб и удаленного доступа. По завершении работы мастера вы получите нового пользователя домена. А теперь проверим работу, используя созданный сетевой профиль пользователя Иванов. Нужно заметить, что в процессе создания пользователя система может «ругаться» на недостаточную сложность пароля или его краткость. Смягчить требования можно, открыв «Политику безопасности домена» (DefaultDomainSecuritySettings) и далее «Параметры безопасности -> Политики учетных записей -> Политика паролей». Пусть мы создали пользователя Иван Иванов в контейнере Users (UserLogonName: ivanov@HQ.local). Если в системах NT 4 это имя играло лишь роль украшения, то в AD оно является частью имени в формате LDAP, которое целиком выглядит так: cn="Иван Иванов", cn="Users", dc="hq", dc="local" Здесь cn – container name, dc – domain component.Описания объектов в формате LDAP используются для выполнения сценариев WSH (WindowsScriptHosts) либо для программ, использующих протокол LDAP для связи с ActiveDirectory. Для входа в домен Иван Иванов должен будет использовать имя в формате UPN (UniversalPrincipalName): ivanov@hq.local. Также в доменах AD будет понятно написание имени в старом формате NT 4 (пред Win2000), в нашем случае HQ\Ivanov. При создании учетной записи пользователя ей автоматически присваивается идентификатор защиты (SID, SecurityIdentifier) – уникальный номер, по которому система и определяет пользователей. Это очень важно понимать, так как при удалении учетной записи удаляется и ее SID и никогда не используется повторно. А каждая новая учетная запись будет иметь свой новый SID, именно поэтому она не сможет получить права и привилегии старой. Учетную запись можно переместить в другой контейнер или OU, отключить или, наоборот, включить, копировать или поменять пароль. Копирование часто применяется для создания нескольких пользователей с одинаковыми параметрами. |