Настроив домен, администратор, наконец-то, сможет взять бразды правления сетью в свои мозолистые руки. От этого все только выиграют, ведь то, на что раньше уходила куча времени и нервов, теперь можно будет сделать за пару минут, абсолютно безболезненно.

С чего начинается домен

Первым делом необходимо определиться с операционной системой. Мы предпочли Windows 2003 Server более ранним версиям серверных ОС по двум причинам. Во-первых, она самая новая, а значит, кроме всего, вы получите опыт, который пригодится в будущем. Во-вторых, на систему можно положиться; после установки критических обновлений с сайта microsoft.com она работает стабильно и без сбоев.

Теперь немного о серверном железе. Начинать следует с процессора в районе 700 МГц, 512 Мб оперативной памяти и жесткого диска с 2 Гб свободного места. Для успешной установки контроллера домена системный диск обязательно должен быть отформатирован под NTFS, учтите это еще при инсталляции ОС, когда форматирование еще можно провести безболезненно. Также у вас должна быть настроена сетевая карта, которая "смотрит" в локальную сеть, иначе ничего не получится. Вот, пожалуй, и все оговорки, теперь можно приступать.

Поехали...

Установка Windows 2003 Server в качестве домена или в качестве члена рабочей группы ничем не отличается. Все самое интересное начинается после первого запуска системы. Перед вами появляется оснастка Manage Your Server, выбрав в ней пункт Add or remove a role, вы приступите к увлекательному и познавательному занятию - конфигурированию собственного сервера. В появившемся окне мастера следует выбрать роль, которую вы желаете определить для данного сервера - Domain Controller, потом жмите Next. Через пару секунд появится еще один мастер установки. Если вы инсталлируете единственный контроллер домена в своей сети, оставляйте предложенный мастером пункт Domain Controller for a new domain и затем Domain in a new forest.

К следующему этапу следует отнестись внимательно, вам нужно будет указать полное DNS-имя своего домена. Назовем наш домен UPS.local (окончание local рекомендуется использовать для имен локальных доменов, состоящих из одного слова). Мы не будем заострять внимание на всех пунктах установки, далее можно просто соглашаться с вариантами по умолчанию, которые предлагает мастер. В конце концов, вопросы закончатся, и начнется сама инсталляция, в ходе которой будут автоматически сконфигурированы Active Directory и DNS. По завершении работы мастера нужно перезагрузить компьютер. Это будет долгая перезагрузка, но ничего не поделаешь, придется запастись терпением - большие дела быстро не делаются. В итоге на вашем рабочем столе появится последняя стадия установки с оптимистичной надписью: This server is Now a Domain Controller.

Первое знакомство

Начиная с Windows 2000 Server, в состав серверных ОС от Microsoft входит служба Active Directory (AD). Данный каталог может хранить различную информацию (пароли, права доступа), относящуюся к пользователям, группам, компьютерам. Для повседневной работы наиболее часто используют Active Directory Users and Computers, оснастку управления пользователями. Чтобы вызвать ее, в меню Start > Run наберите dsa.msc.

В данный момент AD Users and Computers в настройке не нуждается, поэтому не будем залезать в дебри, а лишь коротко пробежимся по основным элементам, которые пригодятся в будущем.

Как вы уже заметили, в AD Users and Computers домен содержит так называемые контейнеры. У каждого из них свое назначение. Например, контейнер Users включает в себя учетные записи пользователей и групп безопасности. Контейнер Computers будет содержать только что включенные в состав домена компьютеры, Builtin - встроенные группы безопасности. Вы можете и сами создавать контейнеры, называться они будут Organizational Unit (OU). У них есть некоторые особенности, о которых чуть позже. Прежде рассмотрим еще одну необыкновенно полезную вещь - политики безопасности.

В AD Users and Computers щелкните по иконке с названием домена правой кнопкой мыши, выберите Properties и перейдите на вкладку Group Policy. Групповая политика - это, грубо говоря, набор настроек, которые оговаривают значения всех ключевых параметров операционной системы: от управления иконками на рабочем столе до автоматической установки программ. Отредактировав политику по своему усмотрению, вы можете распространить ее на все компьютеры, входящие в состав домена. Иначе говоря, вместо того, чтобы настраивать 20 компьютеров, вам надо настроить только один. Переоценить пользу от этого сложно. Но будьте внимательны при работе с этим инструментом, групповые политики наследуются и переопределяются. Незнание правил, по которым это происходит, может привести к путанице, поэтому не торопитесь редактировать групповую политику всего домена, лучше начать с меньшего. Например, создать свой OU и применить для него новую политику.

Поставим перед собой задачу: в организации работает 5 стажеров, необходимо ограничить их в правах при работе с компьютерами. Чтобы решить проблему, создаем новый OU (в ниспадающем меню домена: New > Organizational Unit), создаем новую учетную запись стажера (в ниспадающем меню OU: New > User). Теперь, задав политику безопасности для соответствующего OU, мы можем контролировать возможности стажеров. Это и есть главное отличие OU от встроенных контейнеров - для OU можно создавать собственную политику.

Помимо этого, если вы щелкните по любому пользователю правой кнопкой мыши и выберете Properties, то перед вами откроется еще немало интересных настроек.

x403@yandex.ru

Режимы работы домена

Если помните, домены под управлением Windows 2000 Server могли работать в нескольких режимах: mixed или native. В Windows Server 2003 разработчики, видимо, еще раз обдумав это дело, переименовали концепцию "режима" (mode) домена в концепцию "функционального уровня" (functional level). Устраивать дебаты по поводу наиболее удачной формулировки смысла нет - какая, в сущности, разница, лишь бы работало.

Функциональные уровни домена с Windows Server 2003 описаны в таблице.

Будьте внимательны, если вы повысите функциональный уровень домена до Windows Server 2003, к домену уже не получится добавить контроллеры под управлением Windows 2000 или Windows NT 4.0.

Функциональный уровень домена меняется с помощью оснастки Active Directory Users and Computers (dsa.msc), это не занимает много времени. Щелкните правой кнопкой по изображению домена в Active Directory Users and Computers и выберите Raise Domain Functional Level. Далее только нужно выбрать уровень, до которого желаете повысить контроллер (понижать уровень нельзя).

Необходимо учесть, что для осуществления задуманного вы должны быть членом группы Enterprise Administrators или Domain Administrators в этом домене.