Архив

Архив Май 2010

Управление Active Directory #2: создание учетных записей пользователей из шаблона

Опытные системные администраторы в своей работе придерживаются правила максимально автоматизировать все процессы, которые могут быть автоматизированы. Причиной этому является вовсе не лень (хотя лень – тоже неплохой мотиватор. Если бы не она, то человечество до сей поры проживало бы в пещерах и ярангах и питалось бы подножным кормом), как думают далекие от ИТ люди, а необходимость минимизировать риски допущения ошибок, исключив из администрирования человеческий фактор.

Примером рутинной операции, которую человек всегда сделает хуже, чем машина, является работа с объектами пользователей Active Directory.

Представим себе ситуацию: вы администрируете домен AD крупной компании с сетью филиалов, разбросанных по всей России. Согласно установленному регламенту, вы отвечаете за создание учетных записей пользователей (любого подразделения, любого филиала) в AD и для каждого объекта обязаны заполнять следующие атрибуты:

— имя и фамилия;
— выводимое имя;
— почтовый индекс;
— почтовый ящик (неэлектронный!);
— город;
— страна или регион;
— путь к перемещаемому профилю пользователя (в каждом филиале используются свои серверы хранения профилей);
— отдел;
— организация;
— руководитель.

Кроме того, учетные записи пользователей необходимо сразу вносить в нужные группы безопасности согласно, например, принадлежности к определенному отделу.

Пускай в день вам приходится создавать до 10 учетных записей для сотрудников организации, естественно, в разных филиалах и подразделениях.

Перспектива заниматься этим вручную, прямо скажем, удручает. Во-первых, это долго и нудно. Во-вторых, как я уже упоминал, всегда есть шанс допустить ошибку, которая может привести не только к необходимости ее исправить, но и к дисциплинарным взысканиям, если таковые предусмотрены вашим трудовым договором.

Я расскажу, как этого избежать.

Один из способов автоматизировать создание учетных записей пользователей – создавать их из шаблонов. Но сперва нужно создать сами шаблоны.

Допустим, грядет существенное увеличение штата финансового отдела главного, московского, подразделения организации, и нам предстоит создать довольно много учетных записей для его новых сотрудников.

В оснастке управления пользователями и компьютерами AD развернем OU Finance и создадим нового пользователя со следующими учетными данными:

usd-add-by-temp-01

usd-add-by-temp-02

Теперь откроем его свойства и заполним вышеуказанные атрибуты:

usd-add-by-temp-03

usd-add-by-temp-04

usd-add-by-temp-05

Заодно сразу же присоединим его к группе безопасности финансового отдела:

usd-add-by-temp-06

Готово. Обратите внимание, что я сразу отключил шаблонную учетную запись, чтобы ее невозможно было использовать для авторизации в домене.

Теперь мы можем использовать эту учетную запись для создания новых. Для этого необходимо вызвать контекстное меню учетной записи и выполнить команду Копировать…

usd-add-by-temp-07

При ее выполнении будет вызвано окно копирования объекта с пустыми атрибутами Имя, Фамилия, Полное имя, UPN и пр. Заполним их данными гипотетического сотрудника финансового отдела Ивана Петрова:

usd-add-by-temp-08

После выполнения копирования, учетная запись будет создана со всеми атрибутами, заполненными для _user_finance_template. Приведу в качестве примера скриншот свойств учетной записи во вкладке Член групп:

usd-add-by-temp-09

Вуаля. Итак, однажды потрудившись создать пару-тройку десятков шаблонов для новых пользователей, можно существенно упростить себе жизнь и сэкономить кучу времени.

Default ,

Управление Active Directory #1: инструменты командной строки DS

Управление Active Directory – не просто работа, а целое искусство, требующее, помимо академических знаний об ее архитектуре, навыки проектирования согласно бизнес-требованиям организации в ИТ-инфраструктуре и умения автоматизировать рутинные операции с целью минимизации допущения ошибок.

В рамках данного поста я рассмотрю управление объектами AD из командной строки.

В Windows Server 2008 существуют следующие инструменты командной строки для управления AD:
Dsadd – создание объекта в каталоге;
Dsget – возврат указанных атрибутов объекта;
Dsmod – модификация указанных атрибутов объекта;
Dsmove – перемещение объекта;
Dsrm – удаление объекта и его дочерних объектов;
Dsquery – выполнение запроса на основе параметров и возврат списков объектов с такими параметрами.

Большинство команд DS имеют 2 модификатора: тип и имя DN объектов.  К примеру, для создания учетной записи пользователя Ivan Ivanov в подразделении Finances, используется команда:

dsadd user “cn=Ivan Ivanov,ou=Finances,dc=contoso,dc=com”

console-ad-1

В данном случае модификатор user указывает на тип создаваемого объекта (User, он же Пользователь), имя DN – Ivan Ivanov. Так как имя пользователя содержит пробел, то имя DN целиком заключается в кавычки.

Для выполнения манипуляций с атрибутами объектов используются Dsquery, Dsget и Dsmod. Например, отыщем всех пользователей AD, имя которых начинается с Ivan:

dsquery user –name Ivan*

console-ad-2

Dsquery возвратила нам имя DN объекта Ivan Ivanov.

Модифицируем ему атрибут Office, содержащий номер кабинета, в котором сидит сотрудник:

dsmod user “cn=Ivan Ivanov,ou=Finance,dc=contoso,dc=com” –office 555

console-ad-3

Заполненные атрибуты объектов AD могут существенно упростить управление AD, послужив критериями поиска объектов и их модификации. Команды DS поддерживают конвейеризацию входных данных. Это позволяет использовать результаты выполнения Dsquery или Dsget в качестве входных данных.

Чтобы стало понятнее, я приведу пример.

Скажем, вы управляете территориально-распределенным доменом с большим количеством филиалов. Для создания списков рассылки, отдел кадров просит вас предоставить им адреса электронной почты всех сотрудников, например, тамбовского и воронежского филиалов. Сбор такой информации вручную может занять довольно много времени, да и мало кого вдохновит. Но если при создании учетных записей пользователей в AD тамбовские и воронежские администраторы сразу же заполняли атрибуты объектов пользователей, то это будет для вас пустяковым делом на одну минуту.

Я не стал заполнять лабораторную среду большим количеством объектов и их атрибутами, чтобы можно было выполнять поиск с такими условиями. Однако, запросить для примера номера кабинетов, в которых сидят пользователи с именем Ivan, в ней можно:

dsquery user –name Ivan* | dsget user –office

Все просто, не правда ли?

Для закрепления материала, рассмотрим мини-сценарий:
1. Просмотрим список учетных записей пользователей, имена которых начинаются с Ivan;
2. создадим новый OU под названием Tr;
3. перенесем учетную запись пользователя Ivan Ivanov в OU Tr;
4. удалим OU Tr вместе со всеми дочерними объектами;
5. Еще раз просмотрим список учетных записей пользователей, имена которых начинаюся с Ivan.

Я создал в корне диска сценарий командной строки scenario.cmd следующего содержания:

dsquery user -name Ivan*
dsadd ou "ou=Tr,dc=contoso,dc=com"
dsquery user -name "Ivan Ivanov" | dsmove -newparent "ou=Tr,dc=contoso,dc=com"
dsrm -subtree -noprompt -c ou=Tr,dc=contoso,dc=com
dsquery user -name Ivan*

Его выполнение происходило так:

console-ad-4

Как видите, выполнение шага 5 выдало пустой результат. Это значит, что сценарий отработал верно.

Таким образом мы убедились в том, что управление объектами AD может быть довольно простым занятием, а инструменты командной строки позволяют не только успешно решать административные задачи, но и максимально автоматизировать их.

Default ,

Ввод Mac OS X в Active Directory

Типовая задача — типовое решение, к тому же доступное на официальном сайте Apple: Best Practices: Integrating Mac OS X with Active Directory.

Ссылка в тему: http://tinyurl.com/35wcahp.

Default ,

Разрешаем Remote Desktop для непривилегированного пользователя на контроллере домена

26 мая 2010

По умолчанию, для контроллеров домена действует политика, запрещающая подключения к ним через RDP членам группы Remote Desktop Users, если они не входят в группу Domain Admins. При попытке подключения такого пользователя к DC, появляется сообщение: «To log on to this remote computer, you must be granted the Allow log on through Terminal Services right. By default, members of Remote Desktop Users group have this right. If you are not a member of the Remote Desktop Users group or another group tha has this right, or if the Remote Desktop User group does not have this right, you must be granted this right manually

Определенная логика в такой политике есть, но бывают ситуации, когда на DC развертываются службы, управляемые не доменными администраторами. И в этом случае возникает необходимость предоставить им возможность управления сервером с соответствующим делегированием полномочий. Как было упомянуто, добавление администраторов в группу Remote Desktop Users не срабатывает. Зато срабатывает следующее:

1. Открываем из меню Start -> Settings -> Control Panel -> Administrative Tools -> Terminal Services Configuration;
2. В разделе Connections открываем Properties соединения RDP-Tcp;
3. Во вкладке Permissions добавляем учетную запись, которой требуется доступ к серверу через Remote Desktop, и даем ей необходимые права (User Access, например):

4. Празднуем победу.

Default , ,

Smells like…

Я ненавижу запах выхлопов пылесоса. Зато люблю запах ванили. Поэтому, когда приходит пора пылесосить, я капаю ароматического масла (ванильного!) на ватный тампон и кладу его в мешок для мусора. Угадайте, чем при таком раскладе пахнут пылесосные выхлопы во время уборки?

Default ,

Анекдоты #1

***

— Скажите, пожалуйста, а как в Мавзолей попасть?
— Э, чувак! Надо сначала революцию сделать, потом чтобы тебя убили, не все так просто.

***

Бежит лось по лесу с похмелья. Увидел родник, остановился и пьёт. А тут в кустах охотник. Бах ему из ружья в лоб! Лось стоит. Охотник прицелился получше… Бах! Лось стоит. Перезаряжает. Бах!
Лось пьёт и думает: «Бляяяя… Что-то мне всё хуёвее и хуёвее…»

***

Пассажиры барахтаются в воде, торчат одни головы. Матросы на шлюпке торопятся спасти их: хватают за волосы и затаскивают в лодку. Вдруг рядом со шлюпкой появляется абсолютно лысая голова. Один матрос несколько секунд озадаченно смотрит на нее, затем бьет по лысине веслом:
— Блядь, нам тут не до шуток!

***

— Поручик Ржевский, вы так легко сближаетесь с женщинами, как вам это удается?
— Я их трахаю, а это очень сближает.

***

Собирает мать сына в поход, складывает в рюкзак:
— Вот, cынок, кладу тебе тушенку, хлеб, гвозди…
— Мам, зачем?
— Как зачем? Проголодаешься — поешь тушенки с хлебом.
— А гвозди?
— Ну, вот же они — положила!

***

Юмор