ВВЕДЕНИЕ
Версия Windows Server
ГЛАВА 1. УПРАВЛЕНИЕ СЕРВЕРАМИ НА БАЗЕ WINDOWS SERVER
1.2. КОНТРОЛЛЕРЫ ДОМЕНА, ОБЫЧНЫЕ СЕРВЕРЫ И СЛУЖБЫ ДОМЕНА
1.2.3. Перезапускаемые доменные службы
1.4. КОНСОЛЬ ДИСПЕТЧЕР СЕРВЕРОВ
1.5. РОЛИ СЕРВЕРОВ, СЛУЖБЫ РОЛЕЙ И КОМПОНЕНТЫ
1.6. УСТАНОВКА WINDOWS SERVER
1.6.3. Выпуски Standard и Datacenter
1.6.4. Server Core
1.6.5. Процесс установки Windows Server
1.6.6. Дополнительные возможности при установке
Загрузка драйверов устройств при установке
1.7. УПРАВЛЕНИЕ РОЛЯМИ, СЛУЖБАМИ РОЛЕЙ И КОМПОНЕНТАМИ
1.7.2. Удаленное управление серверами
1.8. ДОБАВЛЕНИЕ И УДАЛЕНИЕ РОЛЕЙ, РОЛЕВЫХ СЛУЖБ И КОМПОНЕНТОВ
ГЛАВА 2. МОНИТОРИНГ ПРОЦЕССОВ, СЕРВИСОВ И СОБЫТИЙ
2.1.2. Управление службами
Реакция на сбой службы
2.2. ПРОСМОТР И ПРОТОКОЛИРОВАНИЕ СОБЫТИЙ
2.2.2. Доступ к событиям в Диспетчере серверов
2.2.3. Средство \
Сохранение и очистка журналов
ГЛАВА 3. АВТОМАТИЗАЦИЯ АДМИНИСТРАТИВНЫХ ЗАДАЧ
3.1.2. Порядок применения политики
3.1.4. Управление локальной групповой политикой
3.1.5. Управление политиками сайта, домена или ОЕ
3.1.6. Административные шаблоны
3.1.7. Создание и связь объекта групповой политики
3.1.8. Удаление ссылок и удаление GPO
3.1.9. Обновление групповой политики
3.1.10. Если политика не применяется. Мастер результатов групповой политики
3.2. УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ И КОМПЬЮТЕРАМИ ПОСРЕДСТВОМ ГРУППОВОЙ ПОЛИТИКИ
3.2.2. Развертывания программного обеспечения через групповую политику
Развертывание программ в домене
3.2.3. Настройка автоматических обновлений ОС
3.3. ПЛАНИРОВЩИК ЗАДАНИЙ
ГЛАВА 4. ОСНОВЫ БЕЗОПАСНОСТИ WINDOWS SERVER
4.1.2. Использование оснасток «Шаблоны безопасности» и «Анализ и настройка безопасности»
4.1.3. Изменение настроек для политик учетных записей, локальных политик и журнала событий
4.1.4. Настройка групп с ограниченным доступом
4.1.5. Включение, отключение и настройка системных служб
4.1.6. Настройка параметров безопасности для реестра и файловой системы
4.1.7. Анализ, просмотр и применение шаблонов безопасности
4.2. ПОЛИТИКИ, НА КОТОРЫЕ СТОИТ ОБРАТИТЬ ВНИМАНИЕ
4.2.2. Запрещаем доступ к командной строке и PowerShell
4.2.3. Максимальное время работы пользователя
4.3. НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНА С ПОМОЩЬЮ ГРУППОВЫХ ПОЛИТИК
ГЛАВА 5. РАЗВОРАЧИВАНИЕ ACTIVE DIRECTORY
5.3. КОМПОНЕНТЫ ACTIVE DIRECTORY
5.4. СТРУКТУРЫ ДОМЕНА
5.4.2. Лес и дерево домена
5.4.4. Сайты и подсети
5.5. СТРУКТУРА КАТАЛОГА
5.5.2. Глобальные каталоги
5.6. КОРЗИНА ACTIVE DIRECTORY
ГЛАВА 6. ОСНОВЫ АДМИНИСТРИРОВАНИЯ AD
6.1.2. Центр администрирования Active Directory
6.2. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ КОМПЬЮТЕРА
6.2.2. Удаление учетной записи компьютера
6.2.4. Перемещение учетных записей компьютера
6.2.5. Присоединение компьютера к домену
6.3. УПРАВЛЕНИЕ КОНТРОЛЛЕРАМИ ДОМЕНА
6.3.2. Просмотр и передача ролей домена
6.4. УПРАВЛЕНИЕ ОРГАНИЗАЦИОННЫМИ ЕДИНИЦАМИ
6.4.3. Переименование и удаление организационных подразделений
6.4.4. Перемещение организационных подразделений
ГЛАВА 7. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЯ И ГРУППЫ
7.2. ИМЯ ВХОДА И ИДЕНТИФИКАТОРЫ БЕЗОПАСНОСТИ
7.3. УЧЕТНЫЕ ЗАПИСИ ГРУПП
7.3.3. Идентификаторы безопасности и учетные записи групп
7.4. УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП ПО УМОЛЧАНИЮ
7.4.2. Учетная запись Администратор
7.4.4. Неявные группы и специальные идентификаторы
7.4.5. Группы, используемые администраторами
7.5. ВОЗМОЖНОСТИ УЧЕТНОЙ ЗАПИСИ
7.5.2. Право входа
7.5.3. Встроенные возможности для групп в Active Directory
7.6. ТРЕБОВАНИЯ К ИМЕНАМ ПОЛЬЗОВАТЕЛЕЙ И ПАРОЛЯМ
7.6.2. Использование безопасных паролей
7.7. ПОЛИТИКИ УЧЕТНОЙ ЗАПИСИ
7.7.2. Настройка политики паролей
Минимальная длина пароля
7.7.3. Политики блокировки учетной записи
Время до сброса счетчика блокировки
7.7.4. Политики Kerberos
Политики задания максимального срока жизни
7.8. НАСТРОЙКА ГЛОБАЛЬНЫХ ПРАВ ПОЛЬЗОВАТЕЛЯ
7.9. СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ
7.10. СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ГРУППЫ
7.11. УПРАВЛЕНИЕ ЧЛЕНСТВОМ В ГРУППЕ
ГЛАВА 8. ПОДКЛЮЧАЕМ LINUX К WINDOWS-ИНФРАСТРУКТУРЕ
8.3. ПОДГОТОВИТЕЛЬНАЯ НАСТРОЙКА
8.4. НАСТРОЙКА KERBEROS
8.5. НАСТРОЙКА SAMBA
8.6. НАСТРОЙКА WINBIND
ГЛАВА 9. УПРАВЛЕНИЕ ФАЙЛОВЫМИ СИСТЕМАМИ И ДИСКАМИ
9.2. ФИЗИЧЕСКИЕ ДИСКИ
9.2.2. Подготовка физического диска к использованию
Состояния дисков
Базовые, динамические, виртуальные диски
Изменение типа диска
9.3. ВИРТУАЛЬНЫЕ ДИСКИ
9.4. ИСПОЛЬЗОВАНИЕ БАЗОВЫХ ДИСКОВ И РАЗДЕЛОВ
ГЛАВА 10. RAID-МАССИВЫ
10.1.2. Массивы томов
10.1.3. Составные и чередующиеся тома
10.2. СОЗДАНИЕ RAID-МАССИВОВ
10.2.2. Реализация RAID 1: зеркалирование
10.2.3. Реализация RAID 5: чередование с контролем четности
10.3. УПРАВЛЕНИЕМ RAID-МАССИВАМИ
10.3.3. Восстановление RAID 5
ГЛАВА 11. СОВМЕСТНЫЙ ДОСТУП К ДАННЫМ
11.2.  НАСТРОЙКА СТАНДАРТНОГО ОБЩЕГО ДОСТУПА К ФАЙЛАМ
11.2.2. Создание общего ресурса
11.2.3. Изменение параметров общей папки
11.3. УПРАВЛЕНИЕ РАЗРЕШЕНИЯМИ ОБЩИХ РЕСУРСОВ
11.4. ОСОБЫЕ ОБЩИЕ РЕСУРСЫ
11.5. ПРОСМОТР СЕССИЙ ПОЛЬЗОВАТЕЛЯ И КОМПЬЮТЕРА
ГЛАВА 12. WINDOWS SERVER BACKUP: СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ И ВОССТАНОВЛЕНИЕ С НЕЕ
12.1.2. Основные типы резервного копирования
12.1.3. Дифференцированное и добавочное резервное копирование
12.1.4. Выбор устройств и носителей данных для резервного копирования
12.1.5. Общие решения для резервного копирования
12.1.6. Покупка и использование носителей резервной копии
12.1.7. Выбор утилиты для резервного копирования
12.2. WINDOWS SERVER BACKUP: УСТАНОВКА И ИСПОЛЬЗОВАНИЕ
12.2.2. Создание резервной копии
12.2.3. Восстановление из резервной копии
ГЛАВА 13. ШИФРОВАНИЕ ДАННЫХ
13.2. ПРОЗРАЧНОЕ ШИФРОВАНИЕ. EFS
13.2.2. Шифрование каталогов и файлов
13.2.3. Работа с зашифрованными файлами и папками
13.2.4. Политика восстановления
13.2.5. Расшифровка файлов и каталогов
13.3. BITLOCKER - СРЕДСТВО ШИФРОВАНИЯ ДИСКА
13.3.3. Шифрование диска
13.3.4. Работа с зашифрованным диском
13.3.6. Автоматическая разблокировка диска
ГЛАВА 14. УПРАВЛЕНИЕ СЕТЬЮ TCP/IP
14.2. НАСТРОЙКА СЕТИ TCP/IP
14.3. НАСТРОЙКА НЕСКОЛЬКИХ ШЛЮЗОВ
14.4. СБРОС СЕТИ
ГЛАВА 15. СЕРВИСЫ DNS И DHCP
15.1.2. Настройка разрешения имен на DNS-клиентах
15.1.4. Установка и базовая настройка DNS-сервера
15.1.5. Создание основной зоны
15.1.6. Создание дополнительного сервера DNS
15.1.7. Обратная зона
15.1.8. Управление записями DNS
15.2. НАСТРОЙКА DHCP
15.2.2. Области адресов
15.2.3. Установка DHCP-сервера
15.2.4. Консоль DHCP
15.2.5. Интеграция DHCP с DNS
15.2.6. Создание суперобластей
15.2.7. Создание обычных областей
ГЛАВА 16. УДАЛЕННЫЙ РАБОЧИЙ СТОЛ
16.2. НАСТРОЙКА СЕРВЕРА ЛИЦЕНЗИРОВАНИЯ ДЛЯ УДАЛЕННЫХ РАБОЧИХ СТОЛОВ
ГЛАВА 17. ВИРТУАЛИЗАЦИЯ
17.1.2. Стоимость виртуального сервера
17.1.3. Какие серверы можно виртуализировать?
17.2. ВЫБОР ГИПЕРВИЗОРА
17.2.2. Hyper-V или VMware?
17.2.3. KVM
17.2.4. Что выбрать?
Установка модуля PowerShell для Hyper-V
Конвертирование с помощью HypervOVAConverter
Конвертирование с помощью StarWind V2V Converter
17.3.2. Перенос сервера из Amazon ЕС2 на виртуальную машину VMware
Несколько примеров
17.4. ВИРТУАЛИЗАЦИЯ WINDOWS-СЕРВЕРА
Преобразование в формат OVF
Заключение
Текст
                    Эта книга - 100%-ная гарантия вашей уверенной работы по настройке и администрированию сети на основе Windows Server
Левицкий Н. Д.
100% гарантия ЙЛ эффективной ЭД. Р«6°’Ь' №
СПРАВОЧНИК
СИСТЕМНОГО АДМИНИСТРАТОРА | Полное руководство
** по управлению Windows-сетью
Описание попного стека технологий администратора сетевых решений на базе Windows Server: от DNS, DHCP и Active Directory до администрирования данных, обеспечения безопасности и Raid-массивов
♦ » Администрирование гетерогенных сетей (Windows + Linux), виртуализация
ПОЛНОЕ
РУКОВОДСТВО
Левицкий Н. Д.
СПРАВОЧНИК
СИСТЕМНОГО АДМИНИСТРАТОРА
ПОЛНОЕ РУКОВОДСТВО ПО УПРАВЛЕНИЮ WINDOWS-СЕТЬЮ
^НиТ
уиэдспельств^^
"Наука и Техника"
Сан кт- Петербург
УДК 004.42 ББК 32.973
ISBN 978-5-94387-928-9
Левицкий Н.Д.
Справочник системного администратора. Полное руководство по
УПРАВЛЕНИЮ Windows-сетью — СПб.: Наука и Техника, 2020.—464 с., ил.
Серия "Полное руководство"_______________________________________
Если вы планируете заниматься созданием и эксплуатацией сетевой инфраструктуры под управлением Windows Server, то эта книга вам точно пригодится. В ней рассмотрен полный стек необходимых современных технологий.
Первая часть книги рассматривает основные операции администрирования Windows Server. Мы разберемся, как управлять серверами, как выполнить мониторинг процессов, сервисов и событий, поговорим о безопасности сервера и рассмотрим вопросы автоматизации различных задач.
Вторая часть посвящена ActiveDirectory. В ней мы изучим разворачивание службы каталогов, основные задачи администрирования, поговорим об управлении учетными записями пользователя и групп, рассмотрим интеграцию Linux в Windows-сеть.
Третья часть - администрирование данных. Резервное копирование, совместный доступ к данным, RAID-массивы, шифрование данных - все это предмет третьей части книги.
Различные специальные сетевые технологии рассматриваются в четвертой части книги. Мы поговорим об управлении TCP/IP, рассмотрим сервис DNS, создание DHCP-сервера, сервера терминалов (RDP). Отдельная глава посвящена виртуализации.
Книга подойдет как для начинающих администраторов, так и для профессионалов, желающих восполнить пробелы и систематизировать свои знания в сетевом администрировании.
Контактные телефоны издательства: (812)41270 26
Официальный сайт: www.nn.com.ru
© Левицкий Н.Д.
© Наука и Техника (оригинал-макет)
ISBN 978-5-94387-928-9
9 78-5-94387-928-9
Группа подготовки издания:
Зав. редакцией компьютерной литературы: М. В. Финков Редактор: Е. В. Финков
Корректор: А. В. Громова
ООО «Наука и Техника»
Лицензия №000350 от 23 декабря 1999 года.
192029, г. Санкт-Петербург, пр.Обуховской обороны, д. 107.
Подписано в печать 1В.05.2020. Формат 70x1001/16.
Бумага газетная. Печать офсетная. Объем 29 п. л. Тираж 1200. Заказ 4077.
Отпечатано с готовых файлов заказчика в АО «Первая Образцовая типография» филиал «УЛЬЯНОВСКИЙ ДОМ ПЕЧАТИ»
4329В0, Россия, г. Ульяновск, ул. Гончарова, 14
Содержание
ВВЕДЕНИЕ..................................................13
Обязанности системного администратора.........13
Как читать эту книгу?.........................14
Версия Windows Server.........................14
ГЛАВА 1. УПРАВЛЕНИЕ СЕРВЕРАМИ НА БАЗЕ WINDOWS SERVER.....................................17
1.1.	ЗНАКОМСТВО С WINDOWS SERVER 2019.....................18
1.2.	КОНТРОЛЛЕРЫ ДОМЕНА, ОБЫЧНЫЕ СЕРВЕРЫ И СЛУЖБЫ ДОМЕНА 20
1.2.1.	Работа с Active Directory...................20
1.2.2.	Контроллеры RODC............................22
1.2.3.	Перезапускаемые доменные службы.............22
1.3.	ИНСТРУМЕНТЫ УПРАВЛЕНИЯ WINDOWS SERVER................24
1.4.	КОНСОЛЬ ДИСПЕТЧЕР СЕРВЕРОВ...........................24
1.5.	РОЛИ СЕРВЕРОВ, СЛУЖБЫ РОЛЕЙ И КОМПОНЕНТЫ.............25
1.6.	УСТАНОВКА WINDOWS SERVER.............................34
1.6.1.	Системные требования........................34
1.6.2.	Минимальный выпуск Essentials.............. 36
1.6.3.	Выпуски Standard и Datacenter...............36
1.6.4.	Server Core.................................37
1.6.5.	Процесс установки Windows Server............47
1.6.6.	Дополнительные возможности при установке....52
Принудительное удаление раздела диска во время установки ...52 Создание, форматирование, удаление и расширение разделов диска................................53
Загрузка драйверов устройств при установке....53
1.7.	УПРАВЛЕНИЕ РОЛЯМИ, СЛУЖБАМИ РОЛЕЙ И КОМПОНЕНТАМИ......54
1.7.1.	Обзор диспетчера серверов...................54
1.7.2.	Удаленное управление серверами..............59
1.8.	ДОБАВЛЕНИЕ И УДАЛЕНИЕ РОЛЕЙ, РОЛЕВЫХ СЛУЖБ И КОМПОНЕНТОВ...............................61
Справочник системного администратора
ГЛАВА 2. МОНИТОРИНГ ПРОЦЕССОВ, СЕРВИСОВ И СОБЫТИЙ..................................67
2.1.	УПРАВЛЕНИЕ ПРОЦЕССАМИ И ПРИЛОЖЕНИЯМИ.......................68
2.1.1.	Диспетчер задач..................................69
2.1.2.	Управление службами..............................83
Настройка входа в систему..........................86
Реакция на сбой службы.............................87
Отключение служб...................................89
2.2.	ПРОСМОТР И ПРОТОКОЛИРОВАНИЕ СОБЫТИЙ........................89
2.2.1.	Основные журналы.................................90
2.2.2.	Доступ к событиям в Диспетчере серверов..........91
2.2.3.	Средство "Просмотр событий”......................93
Установка параметров журнала событий...............96
Сохранение и очистка журналов......................97
ГЛАВА 3. АВТОМАТИЗАЦИЯ АДМИНИСТРАТИВНЫХ ЗАДАЧ................................... 101
3.1.	ГРУППОВАЯ ПОЛИТИКА....................................... 102
3.1.1.	Основные сведения о групповой политике..........102
3.1.2.	Порядок применения политики.....................104
3.1.3.	Редакторы групповой политики....................105
3.1.4.	Управление локальной групповой политикой........105
3.1.5.	Управление политиками сайта, домена или ОЕ......108
3.1.6.	Административные шаблоны........................113
3.1.7.	Создание и связь объекта групповой политики.....115
3.1.8.	Удаление ссылок и удаление GPO..................116
3.1.9.	Обновление групповой политики...................117
3.1.10.	Если политика не применяется. Мастер результатов групповой политики..............120
3.2.	УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ И КОМПЬЮТЕРАМИ посредством групповой политики............................121
3.2.1.	Управление сценариями пользователя и компьютера.121
3.2.2.	Развертывания программного обеспечения через
Содержание
групповую политику.................................125
Основы развертывания ПО............................125
Развертывание программ в домене....................126
3.2.3.	Настройка автоматических обновлений ОС...........128
3.3.	ПЛАНИРОВЩИК ЗАДАНИЙ..................................... 130
ГЛАВА 4. ОСНОВЫ БЕЗОПАСНОСТИ WINDOWS SERVER.................................... 134
4.1.	ШАБЛОНЫ БЕЗОПАСНОСТИ.................................... 135
4.1.1.	Введение в шаблоны безопасности..................135
4.1.2.	Использование оснасток «Шаблоны безопасности» и «Анализ и настройка безопасности».................137
4.1.3.	Изменение настроек для политик учетных записей, локальных политик и журнала событий...........................139
4.1.4.	Настройка групп с ограниченным доступом..........141
4.1.5.	Включение, отключение и настройка системных служб...143
4.1.6.	Настройка параметров безопасности для реестра и файловой системы.................................144
4.1.7.	Анализ, просмотр и применение шаблонов безопасности.146
4.2.	ПОЛИТИКИ, НА КОТОРЫЕ СТОИТ ОБРАТИТЬ ВНИМАНИЕ............ 149
4.2.1.	Удаляем лишние команды из Проводника................149
4.2.2.	Запрещаем доступ к командной строке и PowerShell.151
4.2.3.	Максимальное время работы пользователя...........153
4.2.4.	Отключение элементов панели управления...........155
4.3.	НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНА С ПОМОЩЬЮ ГРУППОВЫХ ПОЛИТИК.............................. 155
ГЛАВА 5. РАЗВОРАЧИВАНИЕ ACTIVE DIRECTORY................159
5.1.	ВВЕДЕНИЕ В ACTIVE DIRECTORY............................  160
5.2.	КОНТРОЛЛЕР ДОМЕНА ТОЛЬКО ДЛЯ ЧТЕНИЯ (RODC) ............. 169
5.3.	КОМПОНЕНТЫ ACTIVE DIRECTORY............................. 170
5.4.	СТРУКТУРЫ ДОМЕНА........................................ 172
5.4.1.	Домены...........................................173
Справочник системного администратора
5.4.2.	Лес и дерево домена...........................174
5.4.3.	Организационные единицы (подразделения).......176
5.4.4.	Сайты и подсети...............................178
5.5.	СТРУКТУРА КАТАЛОГА..................................... 179
5.5.1.	Хранилище данных..............................180
5.5.2.	Глобальные каталоги...........................181
5.5.3.	Роли FSMO (Flexible Single-Master Operations).183
5.6.	КОРЗИНА ACTIVE DIRECTORY............................... 185
ГЛАВА 6. ОСНОВЫ АДМИНИСТРИРОВАНИЯ AD..................... 188
6.1.	УТИЛИТЫ УПРАВЛЕНИЯ ACTIVE DIRECTORY.................... 189
6.1.1.	Оснастка Пользователи и компьютеры Active Directory.191
6.1.2.	Центр администрирования Active Directory......194
6.2.	УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ КОМПЬЮТЕРА................ 195
6.2.1.	Создание учетной записи компьютера..................195
6.2.2.	Удаление учетной записи компьютера..................198
6.2.3.	Сброс заблокированных учетных записей.........199
6.2.4.	Перемещение учетных записей компьютера........199
6.2.5.	Присоединение компьютера к домену.............200
6.3.	УПРАВЛЕНИЕ КОНТРОЛЛЕРАМИ ДОМЕНА.........................204
6.3.1.	Понижение роли контроллера домена.............204
6.3.2.	Просмотр и передача ролей домена..............205
6.4.	УПРАВЛЕНИЕ ОРГАНИЗАЦИОННЫМИ ЕДИНИЦАМИ...................206
6.4.1.	Создание организационных подразделений........206
6.4.2.	Просмотр и редактирование свойств организационных подразделений......................................207
6.4.3.	Переименование и удаление организационных подразделений207
6.4.4.	Перемещение организационных подразделений.....208
ГЛАВА 7. УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЯ И ГРУППЫ.....................................209
7.1.	ТИПЫ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ......................211
Содержание
7.2.	ИМЯ ВХОДА И ИДЕНТИФИКАТОРЫ БЕЗОПАСНОСТИ......................211
7.3.	УЧЕТНЫЕ ЗАПИСИ ГРУПП.........................................212
7.3.1.	Типы групп..........................................213
7.3.2.	Область действия группы.............................214
7.3.3.	Идентификаторы безопасности и учетные записи групп..214
7.4.	УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП ПО УМОЛЧАНИЮ .... 215
7.4.1.	Встроенные учетные записи пользователей.............215
7.4.2.	Учетная запись Администратор........................216
7.4.3.	Учетная запись Гость................................217
7.4.4.	Неявные группы и специальные идентификаторы.........217
7.4.5.	Группы, используемые администраторами...............219
7.5.	ВОЗМОЖНОСТИ УЧЕТНОЙ ЗАПИСИ...................................221
7.5.1.	Привилегии..........................................222
7.5.2.	Право входа.........................................225
7.5.3.	Встроенные возможности для групп в Active Directory.227
7.6.	ТРЕБОВАНИЯ К ИМЕНАМ ПОЛЬЗОВАТЕЛЕЙ И ПАРОЛЯМ..................228
7.6.1.	Требования к имени учетных записей..............228
7.6.2.	Использование безопасных паролей................229
7.7.	ПОЛИТИКИ УЧЕТНОЙ ЗАПИСИ..................................230
7.7.1.	Установка политик учетных записей...................230
7.7.2.	Настройка политики паролей..........................232
Вести журнал паролей..................................232
Максимальный срок действия пароля.....................233
Минимальный срок действия пароля......................233
Минимальная длина пароля..............................233
Пароль должен отвечать требованиям сложности..........234
Хранить пароли, используя обратимое шифрование........234
7.7.3.	Политики блокировки учетной записи..................234
Пороговое значение блокировки.........................235
Продолжительность блокировки учетной записи...........236
Время до сброса счетчика блокировки...................236
7.7.4.	Политики Kerberos...................................237
Максимальная погрешность синхронизации часов компьютера......................................238
Справочник системного администратора
Принудительное ограничение входа пользователей.238
Политики задания максимального срока жизни.....238
7.8.	НАСТРОЙКА ГЛОБАЛЬНЫХ ПРАВ ПОЛЬЗОВАТЕЛЯ................239
7.9.	СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ..................240
7.10.	СОЗДАНИЕ УЧЕТНОЙ ЗАПИСИ ГРУППЫ.......................243
7.11.	УПРАВЛЕНИЕ ЧЛЕНСТВОМ В ГРУППЕ........................245
ГЛАВА 8. ПОДКЛЮЧАЕМ LINUX К WINDOWS-ИНФРАСТРУКТУРЕ........................247
8.1.	ЗНАКОМСТВО С SAMBA....................................248
8.2.	УСТАНОВКА НЕОБХОДИМОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.......249
8.3.	ПОДГОТОВИТЕЛЬНАЯ НАСТРОЙКА............................249
8.4.	НАСТРОЙКА KERBEROS....................................250
8.5.	НАСТРОЙКА SAMBA.......................................252
8.6.	НАСТРОЙКА WINBIND.....................................254
ГЛАВА 9. УПРАВЛЕНИЕ ФАЙЛОВЫМИ СИСТЕМАМИ И ДИСКАМИ.............................257
9.1.	УПРАВЛЕНИЕ РОЛЬЮ ФАЙЛОВЫЕ СЛУЖБЫ......................258
9.2.	ФИЗИЧЕСКИЕ ДИСКИ......................................262
9.2.1.	Выбор физического диска......................263
9.2.2.	Подготовка физического диска к использованию.266
Физическая установка и проверка нового диска...269
Состояния дисков...............................271
Базовые, динамические, виртуальные диски.......272
Изменение типа диска...........................274
Реактивация диска..............................276
9.3.	ВИРТУАЛЬНЫЕ ДИСКИ.....................................276
9.4.	ИСПОЛЬЗОВАНИЕ БАЗОВЫХ ДИСКОВ И РАЗДЕЛОВ...............278
9.4.1.	Создание разделов и простых томов............279
Содержание
ГЛАВА 10. RAID-МАССИВЫ...................................285
10.1.	ТОМА И МАССИВЫ ТОМОВ...............................286
10.1.1.	Использование базовых томов.........................287
10.1.2.	Массивы томов..............................288
10.1.3.	Составные и чередующиеся тома..............290
10.2.	СОЗДАНИЕ RAID-МАССИВОВ.............................294
10.2.1.	Реализация RAID 0: чередование.............296
10.2.2.	Реализация RAID 1: зеркалирование..........297
10.2.3.	Реализация RAID 5: чередование с контролем четности.298
10.3.	УПРАВЛЕНИЕМ RAID-МАССИВАМИ.........................299
10.3.1.	Разделение зеркального набора.......................299
10.3.2.	Восстановление зеркального набора (RAID 1).299
10.3.3.	Восстановление RAID 5......................300
ГЛАВА 11. СОВМЕСТНЫЙ ДОСТУП К ДАННЫМ..................303
11.1.	ПАПКА ОБЩИЕ........................................304
11.2.	НАСТРОЙКА СТАНДАРТНОГО ОБЩЕГО ДОСТУПА К ФАЙЛАМ..............308
11.2.1.	Просмотр существующих общих ресурсов.......308
11.2.2.	Создание общего ресурса....................310
11.2.3.	Изменение параметров общей папки...........317
11.3.	УПРАВЛЕНИЕ РАЗРЕШЕНИЯМИ ОБЩИХ РЕСУРСОВ......................318
11.4.	ОСОБЫЕ ОБЩИЕ РЕСУРСЫ...............................321
11.5.	ПРОСМОТР СЕССИЙ ПОЛЬЗОВАТЕЛЯ И КОМПЬЮТЕРА..........324
ГЛАВА 12. WINDOWS SERVER BACKUP: СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ И ВОССТАНОВЛЕНИЕ С НЕЕ............................................329
12.1.	СОЗДАНИЕ ПЛАНА РЕЗЕРВНОГО КОПИРОВАНИЯ И ВОССТАНОВЛЕНИЯ........................................330
12.1.1.	Нюансы плана резервного копирования...330
12.1.2.	Основные типы резервного копирования..333
12.1.3.	Дифференцированное и добавочное резервное копирование...................................334
Справочник системного администратора
12.1.4.	Выбор устройств и носителей данных для резервного копирования........................................335
12.1.5.	Общие решения для резервного копирования..........336
12.1.6.	Покупка и использование носителей резервной копии.337
12.1.7.	Выбор утилиты для резервного копирования..338
12.2.	WINDOWS SERVER BACKUP: УСТАНОВКА И ИСПОЛЬЗОВАНИЕ............339
12.2.1.	Установка.................................339
12.2.2.	Создание резервной копии..................340
12.2.3.	Восстановление из резервной копии.........347
ГЛАВА 13. ШИФРОВАНИЕ ДАННЫХ...............................351
13.1.	ВЫБОР ОПТИМАЛЬНОГО СРЕДСТВА ШИФРОВАНИЯ..............353
13.2.	ПРОЗРАЧНОЕ ШИФРОВАНИЕ. EFS..........................355
13.2.1.	О файловой системе EFS....................355
13.2.2.	Шифрование каталогов и файлов.............357
13.2.3.	Работа с зашифрованными файлами и папками.360
13.2.4.	Политика восстановления...................361
13.2.5.	Расшифровка файлов и каталогов............362
13.3.	BITLOCKER - СРЕДСТВО ШИФРОВАНИЯ ДИСКА.......................363
13.3.1.	Введение в BitLocker......................363
13.3.2.	Установка поддержки BitLocker.............365
13.3.3.	Шифрование диска..........................365
13.3.4.	Работа с зашифрованным диском.............369
13.3.5.	Забыт пароль. Что делать?.................371
13.3.6.	Автоматическая разблокировка диска........371
ГЛАВА 14. УПРАВЛЕНИЕ СЕТЬЮ TCP/IP.........................374
14.1.	ВКЛЮЧЕНИЕ СЕТЕВОГО ОБНАРУЖЕНИЯ......................375
14.2.	НАСТРОЙКА СЕТИ TCP/IP...............................380
14.3.	НАСТРОЙКА НЕСКОЛЬКИХ ШЛЮЗОВ.......................  383
14.4.	СБРОС СЕТИ..........................................384
Содержание
14.5.	ОТКЛЮЧЕНИЕ БРАНДМАУЭРА..............................385
ГЛАВА 15. СЕРВИСЫ DNS И DHCP..............................391
15.1.	СЕРВИС DNS..........................................392
15.1.1.	Интеграция с Active Directory..............392
15.1.2.	Настройка разрешения имен на DNS-клиентах..393
15.1.3.	Типы серверов..............................397
15.1.4.	Установка и базовая настройка DNS-сервера..397
15.1.5.	Создание основной зоны.....................399
15.1.6.	Создание дополнительного сервера DNS.......403
15.1.7.	Обратная зона..............................404
15.1.8.	Управление записями DNS....................405
15.2.	НАСТРОЙКА DHCP......................................409
15.2.1.	Введение в DHCP............................409
15.2.2	Области адресов.............................410
15.2.3.	Установка DHCP-сервера.....................411
15.2.4.	Консоль DHCP...............................414
15.2.5.	Интеграция DHCPcDNS........................415
15.2.6.	Создание суперобластей.....................417
15.2.7.	Создание обычных областей..................418
ГЛАВА 16. УДАЛЕННЫЙ РАБОЧИЙ СТОЛ..........................423
16.1. УСТАНОВКА СЛУЖБЫ УДАЛЕННЫХ РАБОЧИХ СТОЛОВ...........424
16.2. НАСТРОЙКА СЕРВЕРА ЛИЦЕНЗИРОВАНИЯ ДЛЯ УДАЛЕННЫХ РАБОЧИХ СТОЛОВ....................................................428
ГЛАВА 17. ВИРТУАЛИЗАЦИЯ...................................437
17.1.	ВИРТУАЛЬНЫЕ СЕРВЕРЫ.................................438
17.1.1.	Преимущества и недостатки..................438
17.1.2.	Стоимость виртуального сервера.............440
17.1.3.	Какие серверы можно виртуализировать?......442
17.1.4.	Преимущества собственной виртуальной инфраструктуры.443
17.2.	ВЫБОР ГИПЕРВИЗОРА..........................................443
17.2.1	Типы гипервизоров..................................444
17.2.2.	Hyper-V или VMware?...............................444
17.2.3.	KVM...............................................448
17.2.4.	Что выбрать?......................................449
17.3.	КОНВЕРТИРОВАНИЕ ВИРТУАЛЬНЫХ МАШИН ИЗ ОДНОГО ФОРМАТА В ДРУГОЙ.......................................451
17.3.1.	Преобразование из Hyper-V в VMWare................451
Выбор конвертера....................................451
Установка модуля PowerShell для Hyper-V.............451
Подготовка виртуальной машины.......................453
Конвертирование с помощью HypervOVAConverter........453
Конвертирование с помощью StarWind V2V Converter....454
17.3.2.	Перенос сервера из Amazon ЕС2 на виртуальную машину VMware.............................456
17.3.3.	Перенос из Azure в VMWare.........................458
Команда Save-AzureVhd...............................458
Несколько примеров..................................458
Конвертирование в формат VMDK.......................459
17.4.	ВИРТУАЛИЗАЦИЯ WINDOWS-СЕРВЕРА..............................459
17.4.1.	Преобразование в VMware...........................459
VMware® vCenter Converter Standalone................459
Преобразование в формат OVF.........................463
17.4.2.	Утилита Disk2Vhd: преобразование в Hyper-V........464
Заключение..........................................464
Введение. Обязанности системного администратора
Введение.
Обязанности системного администратора
Данная книга пригодится всем, кто занимается созданием и эксплуатацией информационных систем под управлением Windows Server.
К сожалению, в нашей стране отсутствует понимание обязанностей системного администратора. Самого системного администратора, его Величество сисадмина, часто презрительно называют «компьютерщиком» и поручают всякие около компьютерные задачи, начиная от ремонта всей компьютерной и не только техники и закачивая обучением пользователей - да, часто те, кто называют сисадмина «компьютерщиком» сами не понимают на какую кнопку нажимать.
Мы не будем в этой книге рассматривать такие ситуации и прочие неуставные отношения между пользователями и администратором, а сконцентрируемся на задачах администрирования Windows Server:
•	Обслуживание носителей данных.
•	Резервное копирование данных.
•	Управление учетными записями компьютеров и пользователей.
•	Установка/переустановка программного обеспечения.
•	Организация совместного доступа к данным.
•	Настройка сети.
•	Вопросы виртуализации.
•	Автоматизация административных задач.
Справочник системного администратора
По сути, это и есть основные обязанности системного администратора. Кто такой системный администратор? Это специалист, отвечающий за функционирование и развитие информационной системы. Администратор должен понимать работу всех компонентов системы в комплекте и знать особенности работы каждого отдельного элемента. Задача сисадмина - поддерживать в рабочем состоянии информационную систему.
Но никак он не должен ремонтировать чайник, заниматься установкой картриджа в принтер и объяснять тете Вале из 211-ой, как переместить панель инструментов в AutoCAD. Для этого нужны отдельные специалисты или же заключение договора с другой организацией на обслуживание компьютерной техники/повышение квалификации пользователя.
Как читать эту книгу?
Первая часть книги рассматривает основные операции администрирования Windows Server. Мы разберемся, как управлять серверами, как выполнить мониторинг процессов, сервисов и событий, поговорим о безопасности сервера и даже рассмотрим вопросы автоматизации различных задач.
Вторая часть посвящена ActiveDirectory. В ней мы рассмотрим разворачивание службы каталогов, основные задачи администрирования, поговорим об управлении учетными записями пользователя и группы и попытаемся интегрировать в состав домена AD машину под управлением Linux.
Часть III - администрирование данных. Резервное копирование, совместный доступ к данным, RAID-массивы, шифрование данных - все это предмет третьей части книги.
Различные вопросы, связанные с сетью, рассматриваются в четвертой части книги. Мы поговорим об управлении TCP/IP, рассмотрим создание DHCP-сервера, сервера терминалов (RDP), а также возвысимся до использования облачных технологий.
Версия Windows Server
На момент написания этих строк последней является Windows Server 2019. Однако ориентация только на эту версию вряд ли будет правильной,
Введение. Обязанности системного администратора
поскольку существующие системы работают, под управлением, более старых версий Windows - 2012 и 2016. Кое-где даже встречается версия 2008. Чтобы книга не выглядела динозавром и в то же время имела практическую ценность для читателя, материал будет ориентирован на версии 2012-2019, но все скриншоты будут сделаны в русской версии Windows Server 2019.
Часть I. Основы основ
Первая часть книги рассматривает основные операции администрирования Windows Server. Мы разберемся, как управлять серверами, как выполнить мониторинг процессов, сервисов и событий, поговорим о безопасности сервера и даже рассмотрим вопросы автоматизации различных задач.
Глава 1. Управление серверами на базе Windows Server
Глава 2. Мониторинг процессов, сервисов и событий
Глава 3. Автоматизация административных задач
Глава 4. Основы безопасности Windows Server
Глава 1
Управление серверами на базе Windows Server
Справочник системного администратора
Microsoft Windows Server 2019 — мощная, универсальная и полнофункциональная серверная операционная система от Microsoft. В Microsoft уделяют много внимания обратной совместимости, поэтому работа с предыдущими версиями (Windows Server 2012 и Windows Server 2016) во многом схожа, в том числе в управлении, настройке средств безопасности, сети и средств хранения данных. Поэтому большую часть информации о Windows Server 2019 можно применить и к более старым выпускам этой ОС.
1.1. Знакомство с Windows Server 2019
Существуют различные выпуски Windows Server 2019. Все они поддерживают многоядерные процессоры. Важно указать, что компьютер может иметь всего лишь один процессор (будем называть его физическим процессором), но у него может быть восемь ядер (так называемые логические процессоры).
Если говорить о версии 2019, то существует три выпуска - Datacenter, Standard и Essentials. Вкратце особенности этих выпусков приведены в табл. 1.1.
Таблица 1.1. Особенности выпусков Windows Server
Выпуск	Подходит для	Компоненты	Модель лицензирования
Datacenter	Среды частного и общедоступного облака с высоким уровнем виртуализации	Полный набор функциональных возможностей Windows Server с неограниченным количеством виртуальных экземпляров	Ядро + САГ7>

Глава 1. Управление серверами на базе Windows Servei
Standard	Среды низкой плотности или невиртуа-лизированные среды	Полный набор функциональных возможностей Windows Server с двумя виртуальными экземплярами	Ядро + CAL
Essentials	Среды малого бизнеса для серверов, имеющих не более двух процессоров	Упрощенный интерфейс, предварительно настроенное взаимодействие с облачными службами, один виртуальный экземпляр основных компонентов	Сервер (ограничение в 25 пользователей)
Примечание. Если вас интересуют подробности и вы желаете больше различных цифр и опций, посетите следующую страничку https://docs.microsoft.com/en-us/windows-server/ get-started-19/editions-comparison-19
Windows Server 2019 — строго 64-разрядная операционная система (по сути, она является полностью 64-разрядной, начиная с версии 2012). Поскольку различные выпуски Windows Server поддерживают те же самые базовые компоненты и обладают одинаковыми инструментами управления, допускается использовать методы, обсуждаемые в этой книге, независимо от используемого выпуска Windows Server.
После установки ОС Windows Server нужно настроить систему в соответствии с ее ролью в сети:
•	серверы — обычно являются частью рабочей группы или домена;
•	рабочие группы — группы компьютеров, в которых каждый компьютер управляется отдельно;
•	домены — группы компьютеров, которыми можно управлять коллективно посредством контроллеров доменов, в роли которых может выступать система на базе Windows Server. Такие системы управляют доступом к сети, базе данных каталога и общим ресурсам.
Справочник системного администратора
1.2. Контроллеры домена, обычные серверы и службы домена
При установке Windows Server 2010 на новую систему можно настроить сервер как обычный сервер (например, веб-сервер или файловый сервер), контроллер домена или автономный сервер. Важно понимать разницу между этими типами серверов. Рядовые серверы являются частью домена, но не хранят информацию каталога. Контроллеры домена отличаются от рядовых серверов тем, что хранят информацию каталога, производят аутентификацию и предоставляют сервисы для домена. Автономные серверы не являются частью домена. Поскольку у автономных серверов собственные базы данных, они требуют отдельной аутентификации.
1.2.1. Работа с Active Directory
Операционная система Windows Server поддерживает модель репликации с несколькими хозяевами (multi-master), подразумевающую, что любой контроллер домена может обрабатывать изменения каталога, затем эти изменения могут реплицироваться между остальными контроллерами домена автоматически.
Windows Server распространяет всю информацию каталога, называемую хранилищем данных. Внутри хранилища находятся наборы объектов, представляющих учетные записи пользователя, группы, компьютера, а также информация об общих ресурсах — серверах, файлах и принтерах.
Домены, использующие Active Directory, также называются ActiveDirectory-доменами. Хотя эти домены могут работать только на одном контроллере домена, обычно в сети есть несколько контроллеров. В этом случае если один контроллер будет недоступен, остальные контроллеры домена смогут обрабатывать аутентификации и выполнять другие критические задачи.
Функциональность каталога обеспечивается целым семейством связанных служб:
• Службы сертификатов Active Directory (Active Directory Certificate Services, AD CS). Предоставляют функциональность, необходимую для выпуска и освобождения цифровых сертификатов пользователей, клиентских компьютеров и серверов. Служба AD CS использует центры сертификации (СА), ответственные за подтверждение идентификации
Глава 1. Управление серверами на базе Windows Sei ver
пользователей и компьютеров, а также за выпуск сертификатов подтверждения этих идентификационных данных. Домены обладают корпоративными корневыми сертификационными центрами, которые являются сертификационными серверами на вершине сертификационной иерархии для доменов и пользуются наибольшим доверием в корпоративной сети, и подчиненные центры сертификации, которые являются членами существующей корпоративной сертификационной иерархии. Рабочие группы имеют свои собственные автономные корневые сертификационные центры, являющиеся сертификационными серверами на вершине некорпоративной сертификационной иерархии, а также автономные подчиненные центры сертификации, которые являются членами существующей некорпоративной сертификационной иерархии.
Доменные службы Active Directory (Active Directory Domain Services, AD DS). Предоставляют службы каталогов, необходимые для установки домена, включая хранилище данных, в котором содержится информация об объектах в сети. Служба AD DS использует контроллеры домена для управления доступом к сетевым ресурсам. Как только пользователи аутентифицировали себя при входе в домен, их учетные записи используются для доступа к ресурсам сети. Для краткости данную службу в этой книге мы будем называть просто Active Directory (AD), поскольку она является основной для работы каталога.
Службы федерации Active Directory (Active Directory Federation Services, AD FS). Дополняют функции аутентификации и управления доступом AD DS, расширяя их до WWW. Как только служба AD FS настроена, пользователи могут использовать свои цифровые идентификационные данные для аутентификации в Web. Доступ к внутренним веб-приложениям осуществляется с помощью веб-браузера.
Службы Active Directory облегченного доступа к каталогам (Active Directory Lightweight Directory Services, AD LDS). Предоставляют хранилище данных для каталого-зависимых приложений, которые не требуют AD DS и которые не должны размещаться на контроллерах доменов. AD LDS не выполняется как служба операционной системы и может использоваться как в домене, так и в рабочей группе. Каждое приложение, которое работает на сервере, может иметь свое хранилище данных, реализованное с помощью AD LDS.
Службы управления правами Active Directory (Active Directory Right Management Services, AD RMS). Предоставляют уровень защиты информации организации, которая может распространяться за пределы корпоративной сети, например, сообщения e-mail, документы, веб-страницы интрасети — все это может быть защищено от несанкционированного до
Справочник системного администратора
ступа. Служба AD RMS использует: сервис сертификации для выпуска правильных сертификатов учетных записей, позволяющих идентифицировать пользователей, группы и сервисы; службу лицензирования, предоставляющую авторизированным пользователям, группам и сервисам доступ к защищенной информации; сервис протоколирования, чтобы контролировать и обслуживать службу управления правами. Как только доверие будет установлено, пользователи с правильным сертификатом учетной записи смогут получить права на доступ к информации, определяющие, какие пользователи могут получить доступ к информации и что они смогут с ней сделать.
1.2.2. Контроллеры RODC
Контроллер домена только для чтения — дополнительный контроллер домена, содержащий копию хранилища данных AD, доступную только для чтения. RODC идеально подходит для филиалов, где не гарантирована физическая безопасность контроллера домена. За исключением паролей, на RODC хранятся те же объекты и атрибуты, как и на обычном (перезаписываемом) контроллере домена. Эти объекты и атрибуты реплицированы в RODC посредством однонаправленной репликации от перезаписываемого контроллера домена, который работает как партнер по репликации.
Поскольку RODC по умолчанию не хранят пароли или учетные данные, кроме их собственной учетной записи компьютера и цели Kerberos (Kerberos Target), RODC получает учетные записи пользователя и компьютера от перезаписываемого контроллера домена, который работает под управлением Windows Server. Если это разрешено политикой репликации пароля, заданной на перезаписываемом контроллере домена, RODC получает и кэширует учетные записи по мере необходимости, пока эти учетные данные не изменятся. Поскольку на RODC хранится только подмножество учетных записей, это существенно сужает число учетных данных, которые могут быть скомпрометированы.
1.2.3. Перезапускаемые доменные службы
Перезапускаемые доменные службы Active Directory (Restartable Active Directory Domain Services) — функция, позволяющая администратору за
Глава 1. Управление серверами на базе Windows Server
пускать и останавливать AD DS. Служба Доменные службы Active Directory (Active Directory Domain Services), позволяет легко остановить и перезапустить AD DS, как и любую другую службу, которая локально запущена на сервере. Пока служба Доменные службы Active Directory остановлена, можно выполнить задачи по техническому обслуживанию, которые могут потребовать перезапуска сервера, например, оффлайн-дефрагментация базы данных Active Directory, применение обновлений операционной системы или инициирование авторитетного восстановления. При остановленной службе Доменные службы Active Directory на сервере другие контроллеры домена могут обрабатывать задачи аутентификации и входа в систему. Кэшируемые учетные данные, смарт-карты и биометрические методы входа в систему все еще будут работать. Если же в сети нет других доступных контроллеров домена, ни один из этих методов входа в систему работать не будет. Однако все еще можно будет войти в систему сервера, используя режим восстановления служб каталогов (Directory Services Restore Mode).
Контроллеры домена под управлением Windows Server могут находиться в одном из трех состояний:
•	Active Directory запущен — в этом состоянии контроллер домена может предоставлять услуги аутентификации и входа в систему для домена.
•	Active Directory остановлен — Active Directory остановлен, и контроллер домена больше не может предоставлять услуги аутентификации и входа для домена. В этом режиме сохраняются некоторые характеристики рядового сервера и контроллера домена в режиме DSRM (Directory Services Restore Mode). Как рядовой сервер, этот сервер может присоединяться к домену. Пользователи могут входить интерактивно с помощью кэшированных учетных данных, смарт-карт и биометрических методов входа. Пользователи также могут входить по сети с использованием других контроллеров домена. База данных Active Directory на локальном контроллере домена находится в отключенном состоянии. Это означает, что можно выполнять оффлайн-операции AD DS, например, дефрагментацию базы данных, обновление приложений без необходимости перезагрузки контроллера домена.
•	Режим восстановления службы каталогов (Directory Services Restore Mode) — Active Directory в режиме восстановления. В этом режиме разрешается проводить авторитетное или неавторитетное восстановление базы данных Active Directory.
:правочник системного администратора
1.3.	Инструменты управления Windows Server
Для администрирования системы Windows Server доступно много инструментов. Большинство утилит входит в состав следующих инструментов. '
•	Панель управления - содержит набор утилит для управления конфигурацией системы. Организовать список этих утилит можно разными способами.
•	Графические инструменты администратора — ключевые утилиты для управления сетевыми компьютерами и их ресурсами. Получить доступ к этим утилитам можно через программную группу Администрирование.
•	Административные мастера — утилиты, предназначенные для автоматизации ключевых задач администратора. Доступ к большинству таких утилит можно получить с помощью Диспетчера серверов — основной административной консоли Windows Server.
•	Утилиты командной строки — много утилит администратора можно запустить из командной строки.
1.4.	Консоль Диспетчер серверов
Для осуществления базовых задач системного администрирования используется консоль Диспетчер серверов (Server Manager). Эта консоль (далее просто — Диспетчер серверов) позволяет произвести общую настройку и задать параметры конфигурации локального сервера, управлять ролями, компонентами на любом удаленно управляемом сервере предприятия. Задачи, которые можно выполнить с помощью Диспетчера серверов таковы:
•	добавление серверов для удаленного управления;
•	инициирование удаленных соединений к серверам;
•	настройка локального сервера;
•	управление установленными ролями и компонентами;
•	управление томами и общими ресурсами;
•	настройка объединения сетевых адаптеров NIC (Network Interface Card);
Глава 1. Управление серверами на базе Windows Server
•	просмотр событий и предупреждений;
• перезапуск серверов.
Рис. 1.1. Диспетчер серверов
Диспетчер серверов идеально подходит для общего администрирования, но также вам пригодится утилита для более точной настройки параметров и свойств окружения. Речь идет об утилите Система1, которая используется для:
•	изменения имени компьютера;
•	настройки производительности приложений, виртуальной памяти и параметров реестра;
•	управления переменными окружения пользователя и системы;
•	настройки запуска системы и параметров восстановления.
1.5.	Роли серверов, службы ролей и компоненты
Подготовка серверов происходит путем установки и настройки следующих компонентов.
1	Как и во всех других версиях Windows проще всего вызвать эту утилиту с помощью щелчка правой
кнопкой мыши на элементе Этот компьютер в Проводнике - после этого из контекстного меню нужно выбрать команду Свойства

Справочник системного администратора
•	Роли серверов - это связанный набор программных компонентов, позволяющих серверу осуществить определенные функции для пользователей и других компьютеров сети. Компьютер может быть выделен для какой-то определенной роли, например для роли Доменные службы Active Directory - тогда он будет контроллером домена. При желании можно, чтобы один и тот же компьютер выполнял несколько ролей.
•	Службы ролей (или ролевые службы) - это программные компоненты, обеспечивающие функциональность роли сервера. У каждой роли есть одна или несколько ролевых служб. Некоторые роли, например DNS-сервер или DHCP-сервер, выполняют одну функцию, и добавление роли устанавливает эту функцию. Администратор может выбрать, какие службы ролей нужно установить.
•	Компоненты. Это программные компоненты, предоставляющие дополнительную функциональность. Компоненты вроде Шифрование диска Bit Locker и Система архивации данных Windows Server, устанавливаются отдельно от ролей и ролевых служб. В зависимости от конфигурации компьютера компоненты могут быть установлены или отсутствовать. Компоненты сервера подобны компонентам комплектации автомобилей: хочешь, чтобы летом поездки были более комфортные, покупаешь автомобиль с климат-контролем; хочешь резервное копирование, устанавливаешь систему архивации данных.
Роли, ролевые службы и компоненты настраиваются с помощью Диспетчера серверов-и Консоли управления Microsoft2. Некоторые роли, службы ролей и компоненты зависят от других ролей, служб ролей и компонентов. При установке ролей, служб ролей и компонентов Диспетчер серверов запрашивает у администратора подтверждение на выполнение этого действия. Аналогично, при попытке удалить компонент, Диспетчер серверов предупреждает администратора, что нельзя удалить этот компонент, пока не будут удалены зависимая роль, служба роли или компонент. Все автоматизировано и вам не нужно помнить, от каких служб ролей зависит та или иная роль - при установке роли необходимые службы роли будут установлены автоматически.
Поскольку добавление или удаление ролей, служб ролей и компонентов может менять требования к аппаратным ресурсам (о системных требованиях мы еще поговорим), необходимо внимательно планировать любые изменения в конфигурации и определять, как они отобразятся на общей производительности сервера. Хотя обычно хочется комбинировать допол-нитедьные РОЛИ, а это увеличивает нагрузку на сервер, поэтому придется, 2	Microsoft Management Console, ММС
Глава 1. Управление серверами на базе Windows Server
соответственно, оптимизировать аппаратные средства. Таблица 1.2 содержит обзор основных ролей, доступных для размещения на сервере под управлением Windows Server 2019.
Таблица 1.2. Основные роли и связанные ролевые службы
Роль	Описание
Службы сертификатов Active Directory	Предоставляют функции, необходимые для выпуска и отзыва цифровых сертификатов для пользователей, компьютеров клиентов и серверов. Службы роли: Центр сертификации. Веб-служба политик регистрации сертификатов, Веб-служба регистрации сертификатов, Сетевой ответчик, Служба регистрации в центре сертификации через Интернет, Служба регистрации на сетевых устройствах
Доменные службы Active Directory	Предоставляют функционал, необходимый для хранения информации о пользователях, группах, компьютерах и других объектах сети. Установка данной роли превращает компьютер в контроллер домена. Контроллеры домена Active Directory предоставляют пользователям и компьютерам сети доступ к запрашиваемым ресурсам сети
Службы федерации Active Directory	Производят аутентификацию и управление доступом для AD DS путем расширения этих функций на WWW.. Сервисы и подсервисы роли: Службы федерации, Поддерживающий утверждение агент AD FS 1.1, Агент Windows на основе токенов, Прокси-агент службы федерации
Службы Active Directory облегченного доступа к каталогам	Предоставляют хранилище данных для каталогозависимых приложений, которые не требуют AD DS и размещения на контроллере домена. Не требует дополнительных служб ролей
Службы управления правами Active Directory	Предоставляют контролируемый доступ к защищенным сообщениям e-mail, документам, страница корпоративной сети и другим типам файлов. Требует наличие служб: Сервер управления правами Active Directory и Поддержка федерации удостоверений
Сервер приложений	Используется для размещения приложений, построенных с помощью ASP.NET, Enterprise Services и Microsoft .NET Framework 4.5. Требует более 10 служб ролей
DHCP-сервер	Используется для централизованного управления IP-адресацией. DHCP-серверы динамически назначают IP-адреса и другие ТСР/ IP-параметры другим компьютерам сети. Не требует дополнительных ролевых служб
DNS-сервер	Реализует функционал DNS-сервера. Не требует дополнительных ролевых служб
Справочник системного администратора
Роль	Описание
Факс-сервер	Используется для централизованного контроля над отправкой и приемом факсов на предприятии. Факс-сервер может работать как шлюз для факсов и позволяет управлять факс-ресурсами: заданиями и отчетами, факс-устройствами на сервере или в сети. Не требует дополнительных служб
Файловые службы и службы хранилища	Используется для управления файлами и хранилищем. Некоторые роли требуют дополнительные типы файловых служб. Службы роли: BranchCache для сетевых файлов, Дедупликация данных, Распределенная файловая система, Пространства имен распределенной файловой системы, Репликация DFS, Файловый сервер, Диспетчер ресурсов файлового сервера, Конечный iSCSI-сервер, Загрузка цели iSCSI и Storage Services
Hyper-V	Исплользуется для создания и управления виртуальными машинами и эмулирования физических компьютеров. На виртуальные машины можно установить операционные системы, отличные от операционной системы сервера
Службы политики сети и доступа	Предоставляют службы для управления политиками сетевого доступа. Ролевые сервисы: Сервер политики сети, Протокол авторизации учетных данных узла и Центр регистрации работоспособности
Службы печати и документов	Предоставляют службы для управления сетевыми принтерами, сетевыми сканерами и соответствующими драйверами. Ролевые сервисы: Сервер печати, Печать через Интернет, Сервер распределенного, Служба LPD
Удаленный доступ	Обеспечивает сервисы для управления маршрутизацией и удаленным доступом к сетям. Используйте эту роль, если необходимо настроить виртуальную частную сеть (VPN), трансляцию сетевых адресов (NAT) и другие сервисы маршрутизации. Службы: DirectAccess и VPN (RAS), Маршрутизация
Службы удаленных рабочих столов	Предоставляют службы, позволяющие пользователям запускать Windows-приложения, установленные на удаленном сервере. При запуске пользователями сервисы на терминальном сервере, весь процесс выполнения происходит на сервере, по сети передаются только данные от приложения
Volume Activation Services	Предоставляет службы для автоматического управления лицензионными ключами томов и активацией ключей томов
Веб-сервер (IIS)	Используется для размещения веб-сайтов и веб-приложений. Веб-сайты, размещаемые на веб-сервере, могут иметь статический м/или динамический контент. Содержит около 10 служб ролей
2d
Глава 1. Управление серверами на базе Windows Server
Роль	Описание
Служба развертывания Windows	Предоставляет сервисы для размещения Windows-компьютеров на предприятии. Службы ролей: Сервер развертывания, Транспортный сервер
Службы Windows Server	Предоставляет сервисы для Microsoft Update, разрешая предоставлять обновления для определенных серверов
Таблица 1.3 содержит обзор основных компонентов операционной системы Windows Server 2019. Обратите внимание, что далеко не все компоненты устанавливаются по умолчанию. Наоборот, по умолчанию не устанавливаются даже очень важные компоненты, такие как система архивации данных.
Таблица 1.3. Основные компоненты Windows Server 2019
Компонент	Описание
Фоновая интеллектуальная служба передачи (BITS)	Обеспечивает фоновую интеллектуальную передачу. После установки этого компонента сервер может действовать как BITS-сервер, который способен принимать загрузки файлов от клиентов. Дополнительные подкомпоненты: Расширение сервера IIS и Облегченный сервер загрузки
Шифрование диска BitLocker	Обеспечивает основанную на аппаратных средствах защиту данных с помощью шифрования всего тома. Компьютеры, оснащенные модулем Trusted Platform Module (TPM), могут использовать Шифрование диска BitLocker в режиме Startup Key или TPM-Only
Сетевая разблокировка BitLocker	Позволяет автоматически разблокировать BitLocker-защищенные диски операционной системы, если присоединенный к домену компьютер будет перезапущен. Обычно при перезагрузке компьютера, если его жесткий диск зашифрован с помощью BitLocker, нужно вводить пароль. Этот компонент позволяет автоматически разблокировать такие компьютеры без ввода пароля или каких-либо других действий со стороны оператора. Однако данный компонент работает только в домене AD и вне домена его использование невозможно.
BranchCache	Предоставляет функциональность, необходимую для клиентов и серверов BranchCache.
Клиент для NFS	Обеспечивает функциональность для доступа к файлам, находящимся на NFS-серверах под управлением UNIX
Мост для центра обработки данных	Поддерживает набор IEEE-стандартов для улучшения локальных Ethernet-сетей путем обеспечения гарантированной аппаратной пропускной способности

^Справочник системного администратора
Компонент	Описание
Enhanced Storage	Обеспечивает поддержку устройств Enhanced Storage
Отказоустойчивая кластеризация	Позволяет нескольким серверам работать вместе для обеспечения высокого уровня доступности ролей серверов. Можно класте-ризировать многие типы серверов, в том числе файловый сервер и сервер печати. Серверы баз данных и сообщений — отличные кандидаты для кластеризации
Управление групповой политикой	Устанавливает консоль управления групповой политикой для централизованного администрирования групповой политики
Служба рукописного ввода	Обеспечивает использование ручки или стилуса, а также распознавания рукописного ввода
Сервер управления IP-адресами	Централизовано управляет пространством IP-адресов и соответствующими серверами инфраструктуры
Клиент печати через Интернет	Позволяет клиентам использовать протокол HTTP для печати на принтерах, подключенных к веб-серверам печати
Служба iSNS-сервера	Предоставляет управление и функции сервера для iSCSI-устройств. Позволяет серверу обрабатывать запросы регистрации и дерегистрации, также запросы от iSCSI-устройств
Монитор LPR-порта	Позволяет выполнять печать на принтерах, подключенных к UNIX-компьютерам
Media Foundation	Обеспечивает необходимую функциональность для Windows Media Foundation
Очередь сообщений	Функции управления и сервер-функции для распределенной очереди сообщений. Как правило, доступна группа дополнительных подкомпонентов
Multipath I/O (МРЮ)	Обеспечивает функциональность, необходимую для использования путей данных к устройствам хранения данных
.NET Framework 4.5	Предоставляет API для разработки приложений. Дополнительные подкомпоненты: .NET Framework 4.5, ASP.NET 4.5 и Windows Communication Foundation (WCF) Activation Components
[ 30 ]
Глава 1. Управление серверами на базе Windows Server
Компонент	Описание
Балансировка сетевой нагрузки (NLB)	Распределяет трафик между несколькими серверами по протоколу TCP/IP. Идеальными кандидатами для балансировки нагрузки являются веб-серверы
Протокол однорангового разрешения имен (PNRP)	Предоставляет функциональность Link-Local Multicast Name Resolution (LLMNR), обеспечивая тем самым одноранговое разрешение имен.
QWave (Quality Windows Audio Video Experience)	Сетевая платформа для передачи аудио/видео по домашним сетям
Пакет администрирования диспетчераВАБ-подключений	Фреймворк для создания профилей соединений к удаленным серверам и сетям
Удаленный помощник	Разрешает удаленному пользователю подключаться к серверу для обеспечения или получения удаленной помощи
Удаленное разностное сжатие	Вычисляет и передает различия между двумя объектами данных и минимизирует объем передаваемых данных
Средства удаленного администрирования сервера (RSAT)	Устанавливает средства управления ролями и компонентами, которые могут использоваться для удаленного администрирования других Windows-серверов.
RPC через НТТР-прокси	Предоставляет прокси для передачи RPC-сообщений от клиентских приложений к серверам через НТТР-прокси. RPC по HTTP — это альтернатива доступа клиента к серверу через частную сеть
Простые службы TCP/IP	Устанавливает дополнительные TCP/IP-сервисы, в том числе Character Generator, Daytime, Discard, Echo и Quote of the Day
SMTP-сервер	После установки этого компонента сервер может работать как базовый 5МТР-сервер<?>. В некоторых случаях этого достаточно, в некоторых нужно будет установить полноценный почтовый сервер вроде Microsoft Exchange Server

Справочник системного администратора
Компонент	Описание
Служба SNMP	Протокол SNMP используется для централизованного управления сетью, если в сети есть SNMP-совместимые устройства. Также протокол SNMP применяется для мониторинга сети с помощью программного обеспечения мониторинга сетью
Подсистема для UNIX-приложений	Предоставляет возможность запуска UNIX-приложений. Дополнительные инструменты управления доступны для загрузки с сайта Microsoft (не рекомендуется использовать)
Клиент Telnet	Используется для подключения к удаленному Telnet-серверу и запуска приложений на этом сервере
Сервер Telnet	Представляет функциональность Telnet-сервера. Это устаревшая технология и протокол Telnet не обеспечивает шифрования передаваемых данных, что делает использование небезопасным.
Пользовательские интерфейсы и инфраструктура	Позволяет контролировать параметры пользовательского интерфейса (Графические средства управления и инфраструктура, Возможности рабочего стола, Графическая оболочка сервера)
Биометрическая платформа Windows	Поддерживает устройства сканирования отпечатков пальцев
Внутренняя база данных Windows	Реляционное хранилище данных, которое может быть использовано только функциями и ролями Windows Server, например, AD RMS, UDDI Services, WSUS, Windows SharePoint Services и WSRM
Windows PowerShell	Разрешает управлять функциями Windows PowerShell-сервера. Windows PowerShell 3.0 и PowerShell ISE устанавливаются по умолчанию
Windows PowerShell Web Access	Превращает сервер в веб-шлюз для удаленного управления серверами с помощью веб-браузера
Глава 1. Управление серверами на базе Windows Server
Компонент	Описание
Служба активации процессов Windows	Обеспечивает поддержку распределенных веб-приложений, которые используют HTTP- и не-НТТР-протоколы
Стандартизированное управление хранилищами Windows	Позволяет обнаруживать запоминающие устройства, управлять ними и контролировать их работу. Предоставляет классы для WMI и Windows PowerShell
Система архивации данных Windows Server	Используется для резервного копирования и восстановления операционной системы и любых данных, хранящихся на сервере
Диспетчер системных ресурсов Windows (WSRM)	Позволяет управлять использованием ресурсов (не рекомендуется)
Фильтр Windows TIFF IFilter	Используется для распознавания текста в файлах, соответствующих стандарту TIFF 6.0
Расширение IIS WinRM	Позволяет серверу принимать запросы от клиента, используя протокол WS-Management
WINS-сервер	Сервис разрешения имен, который сопоставляет имена компьютеров их IP-адресам. Установка этого компонента превращает компьютер в WINS-сервер
Служба беспроводной локальной сети	Позволяет серверу использовать беспроводную сеть
Поддержка WoW64	Поддержка WoW64, необходимая для полной установки сервера. Удаление этого компонента превращает полную установку сервера в установку основных компонентов
Средство просмотра XPS	Программа для просмотра XPS-документов
[ 33
Справочник системного администратора
1.6.	Установка Windows Server
Казалось бы, что можно рассказать об установке Windows Server? Ведь в большинстве случаев вам не придется ее устанавливать:
•	Если вы устроились в организацию с уже существующей инфраструктурой, Windows Server уже установлен.
•	Если вы покупаете новый сервер, то, как правило, он уже будет поставляться с предустановленной ОС.
•	Арендуемый виртуальный сервер также уже поставляется с предустановленной ОС.
Конечно, есть и частные случаи. Первый - покупка сервера без операционной системы. Такие серверы тоже продаются для экономии - вы покупаете «железо», без «математики», а затем сами всю эту математику будете устанавливать. Также возможно придется устанавливать Windows Server и в виртуальную машину - не все облачные провайдеры предоставляют серверы с установленной операционной системой. Об этом мы поговорим в последней главе этой книги.
1.6.1. Системные требования
В большинстве случаев то, что называется на данный момент «сервером» способно выполнять Windows Server, которая отличается вполне небольшими по современным меркам системным требованиям. Но у вас могут возникнуть задачи, когда вам необходимо знать системные требования (например, при заказе виртуального сервера). Если речь идет об экономии, тогда нужно выбирать Windows Server 2019 Essentials (далее мы поговорим об этом выпуске), который отличается минимальными системными требованиями:
• Процессор:
» Производительность зависит не только от частоты процессора, но и от количества ядер и размера кэша, учитывайте это при конфигурировании сервера - восьмиядерная машина с меньшей рабочей частотой будет работать быстрее, чем 4-ядерная с более высокой частотой
» Минимальные требования к рабочей частоте - 1.4 ГГц, 64-бит.
» Совместимость с набором команд х64.
» Поддержка NX и DEP.

Глава 1. Управление серверами на базе Windows Server
» поддержка CMPXCHGlob, LAHF/SAHF и PrefetchW.
» поддержка Second Level Address Translation (EPT или NPT).
Оперативная память:
» 512 Мб для Essentials.
» 2 Гб для Standard.
» ЕС С (Error Correcting Code) или аналогичная технология.
Контроллеры дискового пространства:
» Компьютеры, на которых работает Windows Server 2016/2019, должны включать адаптер с памятью, совместимый со спецификацией архитектуры PCI Express.
» Интерфейс РАТА не поддерживается.
» Windows Server 2016/2019 не работает с ATA/PATA/IDE/EIDE для загрузки, подкачки и как с накопителями данных.
» предположительные минимальные требования к свободному пространству на жестком диске для системных разделов: 32 Гб.
Сетевой адаптер:
» адаптер Ethernet с пропускной способностью от 1 Гбит/с.
» Совместимость со спецификациями архитектуры PCI Express.
» Поддержка Pre-boot Execution Environment (PXE).
» Сетевой адаптер с под держкой отладки сети (KDNet) может быть полезен, но не является минимальным необходимым условием.
DVD-привод (для установки с диска).
Система на базе UEFI 2.3.1с и прошивка, под держивающая безопасную загрузку.
Графическое устройство и монитор с разрешением Super VGA (1024 х 768) и выше (необязательно)
Клавиатура и мышь (необязательно).
Подключение к Интернет (необязательно).
Примечание. Начиная с Windows Server 2016 жесткие диски РАТА (IDE, EIDE) больше не поддерживаются - ни для загрузки, ни для хранения данных. Если вам нужно работать с такими
[35
правочник системного администратора
дисками, обратите внимание на Windows Server 2012, где еще есть поддержка РАТА.
1.6.2.	Минимальный выпуск Essentials
Как уже отмечалось ранее, для версии Windows Server 2019 доступны три выпуска - Standard, Datacenter и Essentials. Выбор выпуска осуществляется при установке операционной системы.
Windows Server 2019 Essentials - это серверная операционная система для малого бизнеса с количеством пользователей до 25 и устройств до 50. Ранее он назывался Small Business Server (SBS) или Microsoft BackOffice Server. Редакция Essentials ограничена в возможностях и вариантах лицензирования и, соответственно, самая дешевая среди семейства. По словам Microsoft, издание Essentials «идеально подходит для малых предприятий с количеством пользователей до 25 и 50 устройствами». В Essentials отсутствуют «асширенные» функции, такие как поддержка службы миграции хранилищ (SMS), которые доступны в выпусках Standard и Datacenter. Essentials также ограничен во многих аспектах.
ОС Windows Server 2019 Essentials поставляется по единой лицензии, которая включает лицензии клиентского доступа CAL (до 25 пользователей / 50 устройств), имеет более низкую цену и возможность запуска традиционных приложений и других функций, таких как совместная работа с файлами печатью.
Windows Server 2019 Essentials имеет те же лицензии и технические характеристики, что и его предшественник Windows Server 2016 Essentials. Если он настроен как контроллер домена, Essentials Windows Server 2019 должен быть единственным контроллером домена, выполняет все роли мастера FSMO и не может иметь двусторонние отношения с другими доменами Active Directory. Другими словами, вы можете сэкономить и выбрать выпуск Essentials - он сможет работать как контроллер домена.
Windows Server 2019 Essentials включает в себя новую аппаратную поддержку и улучшения, такие как поддержка Azure Active Directory через AAD Connect, новые опции Windows Server 2019 Standard, службы миграции памяти и другие. Windows Server 2019 Essentials не поддерживает резервное копирование и удаленный доступ к сети.
1.6.3.	Выпуски Standard и Datacenter
Основными продуктами семейства Windows Server 2019 являются Windows Server 2019 Standard и Datacenter.
36J
Глава 1. Управление серверами на базе Windows Servt
Windows Server 2019 Datacenter является наиболее полным выпуском семейства продуктов Microsoft Server и, вместе с тем, самым дорогим, по оценкам Microsoft. Это отражает увеличение цены по сравнению с MSRP аналогичного сервера, версии 2016 года. Примерно, выпуск Datacenter будет в более чем в 6 раз дороже выпуска Standard. А вот выпуск Essentials будет примерно в два раза дешевле, чем Standard.
Лицензия Datacenter предоставляет самый широкий набор функций и возможностей с наименьшим количеством лицензионных ограничений среди всех выпусков Server. Например, все серверы, которые виртуализированы на сервере Datacenter, лицензируются автоматически их хостом Datacenter, учитывая, что хост-сервер и гостевые серверы имеют одинаковую версию. Такие гости также могут быть автоматически активированы с помощью активации виртуальной машины (AVMA).
В Windows Server 2016 была представлена защищенная виртуальная машина - новая функция, доступная только в выпуске Datacenter. В отличие от этого, Host Guardian Service был доступен только в выпуске Datacenter Windows Server 2016, хотя в выпуске Windows Server 2019 служба Host Guardian стала доступна также и в Standard версии. Хотя такое и происходит время от времени, это не правило, а скорее исключение. В итоге: новые возможности представлены в новых выпусках Windows Server, в то время как другие функции отключены. Некоторые функции являются эксклюзивными для выпуска Datacenter, тогда как иногда такие функции становятся доступными для более дешевых вариантов лицензирования.
Windows Server 2019 Standard и Datacenter - это, по сути, один и тот же продукт, отличающийся друг от друга по функциям только благодаря лицензированию. Таким образом, выпуски Datacenter и Standard могут быть преобразованы друг в друга после установки. Это можно сделать после активации, введя ключ активации, который затем определяет и при необходимости преобразует Windows в соответствующую редакцию. Вкратце: Windows Server 2019 Datacenter может быть активирован в Standard и наоборот.
1.6.4.	Server Core
Выпуски Datacenter и Standard могут быть установлены в режимах Server Core и Desktop Experience (GUI).
37
Справочник системного администратора
Если выбрана установка Server Core, будет установлен пользовательский интерфейс с ограниченным окружением рабочего стола для локального управления сервером. Этот минимальный интерфейс содержит:
•	экран входа в систему, который служит для входа в систему и выхода из нее;
•	редактор Блокнот (notepad.exe) для редактирования файлов;
•	редактор реестра (regedit.exe) для управления реестром;
•	диспетчер задач (taskmgr.exe) для управления задачами и запуска новых задач;
•	командная строка (cmd.exe) для администрирования;
•	оболочка PowerShell для администрирования;
•	утилита Проверка подписи файла (sigverif.exe) для проверки цифровых подписей системных файлов;
•	утилита Сведения о системе (msinfo32.exe) для получения системной информации;
•	Установщик Windows (msiexec.exe);
•	панель Дата и время (timedata.cpl) для просмотра/установки даты, времени и часового пояса;
•	панель Язык и региональные стандарты (intLcpl) для просмотра/изме-нения региональных и языковых опций, в том числе форматов и раскладки клавиатуры;
•	утилита конфигурации сервера (sconfig), предоставляющая текстовое меню для управления настройкой сервера.
При запуске сервера с основными серверными компонентами для входа в систему можно использовать экран входа в систему, точно такой же есть на сервере с полной установкой системы. В домене действуют стандартные ограничения входа на серверы, и на сервер может войти только пользователь с надлежащими правами и полномочиями входа. На серверах, не являющихся контроллерами домена, и серверах в рабочих группах можно использовать команды NET USER (для добавления пользователей) и NET LOCALGROUP для добавления пользователей в локальную группу для локального входа в систему.
После входа в сервер на базе установки с основными серверными компонентами будет доступно ограниченное окружение (нет рабочего стола, есть

Глава 1. Управление серверами на базе Windows Server
только окно командной строки) с командной строкой администратора. Командная строка используется для администрирования сервера. Если окно командной строки было нечаянно закрыто, открыть новое окно командной строки можно с помощью следующих шагов:
1.	Нажмите комбинацию клавиш <Ctrl>+<Shift>+<Esc> для запуска Диспетчера задач.
2.	Нажмите Подробнее, чтобы отобразить меню Диспетчера задач.
3.	В меню Файл выберите команду Запустить новую задачу.
4.	В окне Создание задачи введите cmd и нажмите кнопку ОК.
Этот же способ можно использовать для запуска дополнительной командной строки. Хотя можно запустить Блокнот и редактор реестра с помощью команд notepad.exe и regedit.exe вместо cmd, есть возможность запустить Блокнот и редактор реестра прямо из командной строки командами notepad, ехе и regedit.exe.
Утилита конфигурации сервера (sconfig) предоставляет текстовое меню, позволяющее легко выполнить следующие операции (рис. 1.2):
Рис. 1.2. Утилита sconfig
[ 39
Справочник системного администратора
•	настроить членство в домене или рабочей группе;
•	добавить локальную учетную запись администратора;
•	настроить функции удаленного управления;
•	настроить параметры Windows Update;
•	загрузить и установить обновления Windows;
•	включить или отключить удаленный рабочий стол;
•	настроить сетевые параметры TCP/IP;
•	настроить дату и время;
•	выйти из системы, перезагрузить компьютер и завершить работу компьютера.
После входа в систему отобразить экран входа в любой момент можно с помощью нажатия комбинации клавиш <Ctrl>+<Alt>+<Delete>. В установке сервера с основными серверными компонентами экран входа такой же, что и в полной установке, пользователь может заблокировать компьютер, переключить пользователей, выйти из системы, сменить пароль или запустить диспетчер задач. В командной строке разрешается использовать все стандартные команды и утилиты командной строки, предназначенные для управления сервером. Однако команды, утилиты и программы будут доступны, только если они есть в установке сервера с основными серверными компонентами.
Таблица 1.4. содержит список полезных команд, которые вам наверняка пригодятся для администрирования Essentials-выпуска.
Таблица 1.4. Список полезных команд
Команда	Описание
Cscript Scregedit.wsf	Настраивает операционную систему. Используйте параметр /cli для вывода доступных областей настройки
Diskraid.exe	Настраивает программный RAID-массив
ipconfig /all	Выводит информацию о настройке IP-адреса компьютера
Netdom RenameComputer	Устанавливает имя сервера
Netdom Join	Подключает сервер к домену
40J
Глава 1. Управление серверами на базе Windows Server
Netsh	Предоставляет контекст для управления конфигурацией сетевых компонентов. Введите netsh interface ipv4 для настройки параметров IPv4 или netsh interface ipv6 для настройки IPv6
Ocsetup.exe	Добавляет или удаляет роли, ролевые сервисы и компоненты
Pnputil.exe	Устанавливает или обновляет драйверы устройств
Sc query type=driver	Выводит установленные драйверы устройств
Slmgr -ato	Средство Windows Software Licensing Management, используется для активации операционной системы. Запускает Cscript slmgr. vbs -ato
Slmgr -ipk	Устанавливает или заменяет ключ продукта. Запускает Cscript slmgr. vbs -ipk-
Systeminfo	Выводит подробности конфигурации системы
Wecutil.exe	Создает и управляет подписками на перенаправляемые события
Wevtutil.exe	Позволяет просматривать системные события
Winrm quickconfig	Настраивает сервер на прием запросов WS-Management от других компьютеров. Запускает Cscript winrm. vbs quickconfig
Wmic datafile where name=»FullFilePath>> get version	Выводит версию файла
Wmic nicconfig index=9 call enabledhcp	Настраивает компьютер на использование динамического IP-адреса (вместо статического IP)
Wmic nicconfig index=9 call enablestatic(«IPAddress»), («SubnetMask»)	Изменяет IP-адрес компьютера и сетевую маску

Справочник системного администратора
Wmic nicconfig index=9 call setgateways(«GatewaylPAdd ress»)	Устанавливает или изменяет шлюз по умолчанию
Wmic product get name / value	Выводит список установленных MSI-приложений
Wmic product where name=»Name>> call uninstall	Удаляет MSI-приложение
Wmic qfe list	Выводит список обновлений и исправлений
Wusa.exe PatchName.msu / quiet	Применяет обновление/исправление к операционной системе
Также вам пригодятся базовые команды командной оболочки, представленные в табл. 1.5. В обычном выпуске толку от них мало, поскольку там есть полноценный интерфейс пользователя, а вот в Essentials они могут пригодиться.
Таблица 1.5. Базовые команды командной оболочки Windows
Команда	Описание
ARP.	Отображает и модифицирует таблицы преобразования IP-адресов в физические адреса с использованием протокола ARP (Address Resolution Protocol)
ASSOC	Отображает и модифицирует привязку расширений файлов
ATTRIB	Показывает и изменяет атрибуты файлов
CALL	Вызывает один сценарий из другого
CD/CHDIR	Используется для отображения имени текущего каталога и изменения текущего каталога
CHKDSK	Проверяет диск на наличие ошибок и отображает отчет
CHKNTFS	Показывает статус томов. Позволяет добавить/удалить том из списка автоматической проверки, которая осуществляется при запуске операционной системы.
42
Глава 1. Управление серверами на базе Windows Serve
CHOICE	Создает список, из которого пользователи могут выбрать один из нескольких вариантов (используется в пакетном сценарии)
CLS	Очищает окно консоли
CMD	Запускает новый экземпляр окна командной строки Windows
COLOR	Устанавливает цвет окна командной оболочки Windows
CONVERT	Конвертирует FAT-тома в NTFS
COPY	Копирует или комбинирует файлы
DATE	Отображает/устанавливает системную дату
DEL	Удаляет один или больше файлов
DIR	Отображает список файлов и подкаталогов заданного каталога
DISKPART	Вызывает командный интерпретатор, позволяющий управлять дисками, разделами и томами, используя отдельную командную строку и внутренние команды DISKPART
DISM	Управляет образами Windows
DOSKEY	Используется для создания макросов, состоящих из команд Windows
ECHO	Отображает сообщения, а также переключает режим отображения команд на экране
ENDLOCAL	Завершение локализации окружения в пакетном файле
ERASE	Стирает один или более файлов
EXIT	Выход из командного интерпретатора
EXPAND	Разархивирует файлы
FIND	Производит поиск текстовой строки в файлах
FOR	Запускает указанную команду для каждого файла из набора файлов
FORMAT	Форматирует дискету или жесткий диск
FTP	Передает файлы
Справочник системного администратора
FTYPE	Отображает/изменяет типы файлов, используемые в ассоциации расширений
GOTO	Передает управление содержащей метку строке командного файла
HOSTNAME	Выводит имя компьютера
IF	Осуществляет проверку условия в пакетных программах
IPCONFIG	Отображает конфигурацию TCP/IP
LABEL	Создает, изменяет или удаляет информацию о томе диска
MD/MKDIR	Создает каталог или подкаталог
MORE	Поэкранно выводит данные
MOUNTVOL	Управляет точкой монтирования тома
MOVE	Перемещает файлы из одного каталога в другой на одном и том же диске
NBTSTAT	Отображает статус NetBIOS
NET ACCOUNTS	Управляет учетной записью пользователя и политиками паролей
NET COMPUTER	Добавляет/удаляет компьютер в домен или из домена
NET CONFIG SERVER	Отображает/модифицирует конфигурацию службы Сервер
NET CONFIG WORKSTATION	Отображает/модифицирует конфигурацию службы Рабочая станция
NET CONTINUE	Возобновляет работу приостановленной службы
NET FILE	Отображает открытые файлы на сервере или управляет ними
NET GROUP	Показывает глобальные группы или управляет ними
NET LOCALGROUP	Показывает локальные группы или управляет ними
NET NAME	Отображает/модифицирует получателей для службы сообщений
44
Гпава 1. Управление серверами на базе Windows Served
NET PAUSE	Приостанавливает службу
NET PRINT	Отображает/модифицирует задания печати и управляет очередью печати
NET SEND	Отправляет сообщение с использованием службы сообщений
NET SESSION	Показывает или завершает установленные сеансы
NET SHARE	Показывает общие принтеры и каталоги или управляет ими
NET START	Запускает сетевые сервисы или отображает запущенные сервисы
NET STATISTICS	Отображает статистику рабочей станции и сервера
NET STOP	Останавливает сервисы
NET TIME	Отображает/синхронизирует сетевое время
NET USE	Отображает удаленные соединения или управляет ими
NET USER	Управляет локальными учетными записями пользователей
NET VIEW	Отображает сетевые ресурсы или компьютеры
NETSH	Открывает отдельную командную оболочку, позволяющую управлять конфигурацией разных сетевых сервисов на локальном и удаленном компьютерах
NETSTAT	Отображает статус сетевых соединений
PATH	Отображает или устанавливает путь поиска исполняемых файлов в текущем командном окне
PATHPING	Трассирует маршрут и предоставляет информацию о потере пакетов
PAUSE	Приостанавливает обработку сценария и ждет ввод с клавиатуры
PING	Определяет, установлено ли сетевое соединение
POPD	Переходит в каталог, сохраненный командой PUSHD
PRINT	Выводит текстовый файл
Справочник системного администратора
PROMPT	Изменяет приглашение командной строки Windows
PUSHD	Сохраняет текущий каталог, а затем переходит в указанный каталог
RD/RMDIR	Удаляет каталог
RECOVER	Восстанавливает информацию на поврежденном диске
REG ADD	Добавляет новый подключ или запись в реестр
REG COMPARE	Сравнивает подключи или записи реестра
REG COPY	Копирует запись реестра на локальной или удаленной машине
REG DELETE	Удаляет подключ или записи из реестра
REG QUERY	Отображает элементы ключа реестра и имена подключей (если они есть)
REG RESTORE	Записывает сохраненные подключи и записи обратно в реестр
REG SAVE	Сохраняет копию указанных подключей, элементов и их значений в файл
REGSVR32	Регистрирует и отменяет регистрацию DLL-библиотеки
REM	Добавляет комментарии в сценарии
REN	Переименовывает файл
ROUTE	Управляет таблицами сетевой маршрутизации
SET	Отображает или модифицирует переменные окружения Windows. Также используется для вычисления числовых выражений в командной строке
SETLOCAL	Начинает локализацию окружения в пакетном файле
SFC	Сканирует и проверяет защищенные системой файлы
SHIFT	Смещает подставляемые параметры для пакетного файла
START	Запускает новое окно командной строки и запускает в нем указанную программу или команду
SUBST	Сопоставляет букву диска указанному пути
TIME	Отображает или устанавливает системное время
TITLE	Устанавливает заголовок окна командной строки
TRACERT	Отображает путь между компьютерами
TYPE	Показывает содержимое текстового файла

Глава 1. Управление серверами на базе Windows Sei ver
VER	Отображает версию Windows
VERIFY	Включение или отключение режима проверки правильности записи файлов на диск
VOL	Отображает метку тома диска и серийный номер
Чтобы конвертировать полную установку в установку с минимальным графическим интерфейсом, нужно удалить компонент Графическая оболочка сервера. Хотя можно использовать мастер удаления ролей и компонентов, данную операцию можно выполнить с помощью команды PowerShell:
uninstall-windowsfeature server-gui-shell -restart
Чтобы конвертировать установку с минимальным интерфейсом в полную установку, нужно добавить компонент Графическая оболочка сервера:
install-windowsfeature server-gui-shell -restart
Эта команда устанавливает компонент Графическая оболочка сервера и перезапускает сервер для завершения установки. Если также нужно добавить компонент Возможности рабочего стола, используйте эту команду вместо предыдущей:
install-windowsfeature server-gui-shell, desktop-experience -restart
1.6.5. Процесс установки Windows Server
Перед началом установки необходимо решить, нужно ли проверить и дефрагментировать диски и разделы компьютера перед началом установки. При желании использовать средства программы установки для создания и форматирования разделов необходимо загрузить компьютер с дистрибутивного диска. Если загрузка произведена иным способом, эти средства не будут доступны и управлять разделами можно будет только из командной строки, используя утилиту DiskPart.
Для осуществления чистой установки Windows Server 2019 выполните следующие действия:

Справочник системного администратора
1.	Загрузитесь с дистрибутивного диска. Для этого нужно вставить дистрибутивный диск в DVD-привод (при желании можно подготовить загрузочный USB-диск) и выполнить перезагрузку системы. Если процесс загрузки с дистрибутивного диска не начался, значит, нужно изменить параметры BIOS SETUP - нужно выбрать загрузку с дистрибутивного диска.
2.	При запуске компьютера с использованием дистрибутивного носителя выберите язык, форматы времени и валюты, а также раскладку клавиатуры (рис. 1.3). Когда будете готовы начать установку, нажмите кнопку Далее.
Рис. 1.3. Выбор языка и других параметров локализации
3.	Нажмите кнопку Установить для начала установки.
4.	В корпоративных выпусках ОС Windows Server 2019 не нужно вводить ключ продукта. Однако в OEM-версиях следует ввести ключ продукта, как только инсталлятор попросит это сделать (рис. 1.4).
Глава 1. Управление серверами на базе Windows Server
Усгвивво Windows
Активация Windows
Если вы впераые устанавливаете Windows Н4>том компьютере (или устанавливаете другой выпуск) необходимо ввести действительный ключ продукта Windows Ваш ключ продукта содержится в сообщении влектрснной почты С подтверждением, которое вы получили после приобретения цифровой копии Windows или на этикетке внутри упаковки Windows.
Ключ продукта выглядит так: ХХКХХ-ХХХХХ-ХХХХХ-ХХХХХ-ХХХХХ
Если аы переустанавливаете Windows, выберите пункт ~У меня нет ключа продукта” Ваша копия Windows будет автоматически активирована позже
[I_____________□^ЭД|
Заявление о конфиденциальности	i мейл нет ключа продукта	Далее
«| Сбор информации
2
Рис. 1.4. Ввод лицензионного ключа
5.	На странице Выберите операционную систему, которую вы хотите установить выберите нужный вам выпуск операционной системы (рис. 1.5). В зависимости от инсталляционного диска в этом же окне производится выбор варианта Server Core/Desktop Experience.
6.	Лицензионное соглашение Windows Server 2019 отличается от предыдущих версий Windows. Прочитайте его, отметьте флажок Я принимаю условия лицензии и нажмите кнопку Далее.
7.	На странице Выберите тип установки выберите тип установки, которую необходимо осуществить. Поскольку выполнятся чистая установка, для замены существующей инсталляции или для настройки нового компьютера нажмите кнопку Выборочная: только установка Windows (для опытных пользователей). Если компьютер загружен с дистрибутивного диска кнопка Обновление (Upgrade) будет недоступна.
8.	На странице Где вы хотите установить Windows? выберите диск или раздел диска (рис. 1.6), на который необходимо установить операционную систему. Существуют две версии этой страницы, поэтому нужно иметь в виду следующее.
□С
Справочник системного администратора
50
Глава 1. Управление серверами на базе Windows Server
» Когда у компьютера есть один жесткий диск с одним разделом на весь диск или одной областью нераспределенного пространства, указывают весь диск, и можно нажать кнопку Далее для выбора этого диска в качестве назначения установки. Инсталлятор автоматически создаст новые разделы при необходимости.
» Когда у компьютера имеется несколько дисков или один диск с несколькими разделами, нужно либо выбрать существующий раздел для установки операционной системы, либо создать новый раздел.
» Нельзя выбрать диск, использующий файловую систему FAT/FAT32. Также нельзя отформатировать диск в этой файловой системе. Если раздел, на который планируется установить Windows Server, отформатирован как FAT32, нужно конвертировать его в NTFS, нажав кнопку Форматировать (в этом случае все данные будут потеряны) или посредством использования специальных утилит, выполняющих преобразование файловых систем.
9.	Дождитесь завершения установки (рис. 1.7). Компьютер будет перезагружен автоматически.
А 1'станоак» W mdows
Установка Windows
Состояние
!#J Копирование файле* Windtrw. Подготовка файлов для установки (74%) Установка компонента*
Установка ебневленмй
Завершение
С бор информации
Рис. 1.7. Идет установка ОС
я.
Справочник системного администратора
10.	После перезагрузки вам будет предложено установить пароль для локальной учетной записи администратора (рис. 1.8). После этого вы увидите окно входа в систему: нажмите Ctrl + Alt + Del, и используя имя Администратор и только что указанный пароль, войдите в систему.
Настройка параметров
Введите пароль ВБТрО**«нйч учетной заг*- и администратора, г юруюм * -о для входа на этот гг.льют ер.
'1мя польлоытспч
8веди-е пароль еще раз
Оу ENG
Готово
Рис. 1 .В. Задание пароля администратора
1.6.6. Дополнительные возможности при установке
Во время установки на странице Где вы хотите установить Windows? можно нажать комбинацию клавиш Shift + F10 для доступа к командной строке. Данную командную строку можно использовать для ввода различных команд, в частности, для ввода команды diskpart, используемой для более гибкого управления дисками. Далее будут рассмотрены несколько сценариев, которые могут произойти при установке Windows Server.
Принудительное удаление раздела диска во время установки
Во время установки, возможно, не получится использовать желаемый раздел диска. Причиной может быть неверное значение байта смещения разде-

Глава 1. Управление серверами на базе Windows Server
ла жесткого диска. Чтобы исправить проблему, необходимо удалить разделы (что повлечет полную потерю данных) и создать необходимые разделы с использованием расширенных параметров программы установки на странице Где вы хотите установить Windows? Удалить нераспознанные разделы диска можно с помощью следующих действий:
1.	Нажмите комбинацию клавиш <Shift>+<F10>, чтобы открыть окно командной строки.
2.	В окне командной строки введите diskpart для запуска утилиты работы с разделами диска.
3.	Для просмотра перечня дисков компьютера введите list disk.
4.	Выберите диск командой select disk номердиск, где номер_диска — это номер диска, с которым планируется работать.
5.	Для удаления всех разделов на выбранном диске введите clean.
6.	Введите команду exit для выхода из DiskPart.
7.	Введите команду exit для завершения работы в окне командной строки.
Создание, форматирование, удаление и расширение разделов диска
При осуществлении чистой установки (при условии, что компьютер загружен с дистрибутивного носителя) на странице Где вы хотите установить Windows? появится кнопка Настройка диска, нажав которую, можно получить набор дополнительных возможностей:
•	Создать — создает раздел; после этого нужно отформатировать раздел;
•	Форматировать — форматирует новый раздел так, чтобы он был доступен для установки операционной системы;
•	Удалить — удаляет раздел, который больше не нужен;
•	Расширить — расширяет раздел, увеличивая его размер.
Загрузка драйверов устройств при установке
В процедуре установки существует страница Где вы хотите установить Windows?, на которой присутствует кнопка Загрузить. Ее можно нажать
□Г
[Справочник системного администратора
для загрузки драйвера жесткого диска или контроллера жесткого диска. Обычно эту возможность нужно использовать, когда диск, на который планируется установка операционной системы, не отображается в списке, поскольку недоступен его драйвер.
Для загрузки драйвера диска выполните следующие действия:
1. Во время установки на странице Где вы хотите установить Windows? нажмите кнопку Загрузить.
2. Когда вас попросят вставить инсталляционный носитель в DVD-дисковод или подключить флешку (USB-диск), сделайте это и нажмите кнопку ОК. Инсталлятор произведет поиск драйверов устройств на всех сменных носителях.
» Если инсталлятор найдет несколько драйверов, выберите драйвер, который нужно установить, и нажмите кнопку Далее.
» Если инсталлятор не найдет драйвер устройства, нажмите кнопку Обзор для появления окна выбора папки, выберите папку с драйвером и нажмите кнопку ОК, а затем кнопку Далее.
Для повторного сканирования сменных носителей на предмет наличия драйверов нажмите кнопку Обновить. Если драйвер найти не удалось, нажмите кнопку со стрелкой назад для возврата на предыдущую страницу инсталлятора.
1.7. Управление ролями, службами ролей и компонентами
Для управления ролями, ролевыми службами и компонентами используется консоль Диспетчер серверов. Диспетчер серверов применяется не только для установки/удаления ролей, ролевых служб и компонентов, но и для просмотра конфигурации сервера и статуса этих программных компонентов.
1.7.1. Обзор диспетчера серверов
Диспетчер серверов — центральная консоль для осуществления начальной настройки и настройки ролей и компонентов. Данная консоль позволяет быстро настроить не только новый сервер, но и окружение управления.
54
Глава 1. Управление серверами на базе Windows Server
Примечание. Обычно Windows Server 2019 автоматически запускает Диспетчер серверов при входе в систему, и получить доступ к Диспетчеру серверов можно через рабочий стол. Если не нужно запускать консоль при каждом входе в систему, выберите меню Управление, далее — Свойства диспетчера серверов. В окне Свойства диспетчера серверов установите флажок Не запускать диспетчер серверов автоматически при входе в систему и нажмите кнопку ОК.
Откройте Диспетчер серверов или посмотрите на рис. 1.1. вид по умолчанию для Диспетчера серверов — Панель мониторинга. Здесь находятся ссылки для быстрого добавления ролей и функций на локальные и удаленные серверы, добавления серверов для управления ими, а также создания групп серверов. В меню Управление находятся следующие команды.
•	Добавить роли и компоненты — запускает мастер добавления ролей и компонентов, позволяющий установить роли, ролевые службы и компоненты на сервер.
•	Добавление серверов — открывает диалоговое окно Добавить серверы, используемое для добавления серверов, которые будут доступны для управления. Список всех добавленных серверов отображается на пане-
Рис. 1.9. Меню Управление диспетчера серверов
Справочник системного администратора
ли Все серверы. Нажмите и удерживайте пальцем или щелкните правой кнопкой мыши на имени сервера на панели Серверы раздела Все серверы для отображения списка команд управления, в том числе команды перезагрузки/завершения работы, управления компьютером и т. д.
•	Создание группы серверов — открывает одноименное диалоговое окно, использующееся для добавления серверов в группы, что упрощает управление ними. Диспетчер серверов автоматически создает группы серверов на основании ролей. Например, контроллеры домена перечислены в группе AD DS. Быстро найти информацию о любом контроллере домена можно с помощью выбора соответствующего узла.
На левой панели Диспетчера серверов находятся команды для доступа к Панели мониторинга, локального сервера, всех серверов, доступных для управления, и групп серверов. Выбрав пункт Локальный сервер (рис. 1.10), можно управлять базовой конфигурацией локального сервера.
Рис. 1.10. Управление свойствами локального сервера
Информация о локальном сервере распределена по нескольким панелям.
•	СВОЙСТВА — показывает свойства компьютера, домена, конфигурации сети, часового пояса и т. д. Каждое свойство активно — по нему можно щелкнуть, чтобы вызвать соответствующий интерфейс управления.
•	СОБЫТИЯ — общая информация об ошибках и предупреждениях, взятая из журналов сервера. Нажмите или щелкните по событию, чтобы получить больше информации о нем.
I 56
Глава 1. Управление серверами на базе Windows Server
•	СЛУЖБЫ — выводит список служб, запущенных на сервере (по имени, статусу и типу запуска). Для изменения статуса службы используйте контекстное меню.
•	АНАЛИЗАТОР СООТВЕТСТВИЯ РЕКОМЕНДАЦИЯМ — позволяет запустить анализатор соответствия рекомендациям на сервере и просмотреть результат. Для начала сканирования нажмите список-меню Задачи, а потом выберите команду Начать проверку ВРА.
•	ПРОИЗВОДИТЕЛЬНОСТЬ — позволяет настроить и просмотреть статус предупреждений производительности относительно использования центрального процессора и памяти.
•	РОЛИ И КОМПОНЕНТЫ — выводит список ролей и компонентов в порядке их установки на сервер. Для удаления роли или компонента щелкните правой кнопкой мыши (или нажмите и удерживайте палец) и выберите команду Удалить роль или компонент.
Панель СВОЙСТВА позволяет произвести начальную настройку сервера. Для быстрой настройки доступны следующие свойства.
•	Имя компьютера/Рабочая группа — отображает имя компьютера и домена. Щелкните по соответствующей ссылке, чтобы отобразить окно Свойства системы с активной вкладкой Имя компьютера. Затем можно изменить имя компьютера и имя домена, нажав кнопку Изменить. После чего введите имя компьютера и домена и нажмите кнопку ОК. По умолчанию серверам назначаются случайным образом сгенерированные имена, и они настраиваются как часть рабочей группы WORKGROUP.
•	Ethernet — показывает конфигурацию TCP/IP для проводных Ethernet-соединений. Щелкните по соответствующей ссылке, чтобы открыть консоль Сетевые подключения. Для настройки соединения дважды щелкните на нем, а затем нажмите Свойства для открытия одноименного окна. По умолчанию серверы настраиваются для использования динамической адресации для IPv4 и IPv6. Консоль Сетевые подключения можно также вызвать из Центра управления сетями и общим доступом, выбрав задачу Изменение параметров адаптера.
•	Конфигурация усиленной безопасности Internet Explorer — показывает статус расширенной безопасности Internet Explorer (IE ESC). Щелкните по соответствующей ссылке для включения или отключения IE ESC. Данная функция может быть включена/выключена для пользователей, администраторов либо для тех и других одновременно. IE ESC — средство защиты, которое уменьшает восприимчивость сервера к по
Справочник системного администратора
тенциальным атакам, повышая стандартные уровни безопасности в зонах безопасности Internet Explorer и изменяя настройки этого браузера по умолчанию. По умолчанию функциональность IE ESC включена для администраторов и для пользователей.
•	Объединение сетевых карт — показывает статус и конфигурацию объединения сетевых карт. Щелчок по соответствующей ссылке позволит добавить/удалить объединенные сетевые интерфейсы и изменить их настройки.
•	Код продукта — показывает идентификатор продукта Windows Server. Щелкните по соответствующей ссылке для ввода кода продукта и активации операционной системы через Интернет.
•	Удаленный рабочий стол — щелкните по соответствующей ссылке, чтобы отобразить окно Свойства системы с активной вкладкой Удаленный доступ. Для настройки удаленного рабочего стола установите необходимые параметры и нажмите кнопку ОК. По умолчанию удаленные соединения к серверу запрещены.
•	Удаленное администрирование — показывает, включено ли для этого сервера удаленное администрирование. Щелкните по соответствующей ссылке для включения или выключения удаленного администрирования.
•	Часовой пояс — показывает текущий часовой пояс для сервера. Щелкните по соответствующей ссылке для отображения окна Дата и время. Далее нажмите кнопку Изменить часовой пояс, выберите нужный часовой пояс й дважды нажмите кнопку ОК.
•	Брандмауэр Windows — показывает статус брандмауэра Windows. Если брандмауэр активен, это свойство отображает имя активного профиля и статус брандмауэра. Щелкните по соответствующей ссылке для отображения окна утилиты Брандмауэр Windows.
•	Центр обновления Windows — показывает текущий статус Центра обновления Windows. Щелчок (или нажатие) по соответствующей ссылке позволяет вызвать утилиту Центр обновления Windows, которую можно использовать для автоматического обновления (если обновление отключено) или проверить наличие обновлений (если обновление включено). Аналогично, данную утилиту можно вызвать через Панель управления.
•	Последние установленные обновления - показывает, когда было установлено последнее обновление ПО Windows Server. Щелчок по дате последней установки позволяет просмотреть, какие именно обновления были установлены.
58 j
Глава 1. Управление серверами на базе Windows Server
•	Последняя проверка наличия обновлений - когда была произведена последняя проверка наличия обновлений Windows Server.
•	Антивирусная программа «Защитник Windows»- - показывает состояние антивирусной защиты, а щелчок по значению этого поля позволяет включить/выключить антивирусную защиту.
1.7.2.	Удаленное управление серверами
Диспетчер серверов и другие консоли управления Microsoft (Microsoft Management Consoles, MMC) MOiyr использоваться для администрирования удаленных компьютеров, входящих как в состав домена, так и в состав рабочей группы. Возможно подключение к серверам, работающим под управлением полной установки, установки с минимальным графическим интерфейсом пользователя и установки Server Core. На компьютере, который будет использоваться для удаленного управления другими компьютерами, должна быть установлена как минимум ОС Windows 8 или Windows Server 2012, а также Средства удаленного администрирования сервера.
В Windows Server 2012/2016/2019 Средства удаленного администрирования сервера MOiyr быть установлены в виде компонента с помощью мастера добавления ролей и компонентов (см. далее).
По умолчанию, удаленное управление включено для серверов под управлением Windows Server 2012/2016/2019 для двух типов приложений и команд:
•	приложения и команды, которые используют для управления удаленный доступ WinRM и Windows PowerShell;
•	приложения и команды, которые для удаленного управления используют WMI (Windows Management Instrumentation) и DCOM (Distributed Component Object Model).
Данные типы приложений и команд разрешены для удаленного управления, поскольку для них настроены исключения в правилах брандмауэра Windows, который включен по умолчанию в Windows Server. В брандмауэре Windows есть исключения для разрешенных приложений, использующих удаленное управление, включая следующие средства:
•	Windows Management Instrumentation;

Справочник системного администратора
•	Windows Remote Management;
•	Windows Remote Management (в режиме совместимости).
В дополнительных параметрах брандмауэра Windows имеются правила для входящих соединений, которые соответствуют стандартным разрешенным приложениям.
Для управления компьютером с помощью Диспетчера серверов пользователь должен быть членом группы Администраторы. Для удаленных соединений вам нужно войти в систему с использованием встроенной учетной записи Администратор или настроить ключ реестра LocalAccountTokenFilterPolicy для разрешения удаленного доступа с вашего компьютера. Для установки этого ключа используется следующая команда, которую нужно ввести в командной строке с привилегиями администратора:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\System /v
LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
Используя Диспетчер серверов, можно подключиться к удаленным серверам и управлять ими при условии, что сервер добавлен в список для управления. Для добавления серверов в Диспетчер серверов выполните следующие действия:
1.	Откройте Диспетчер серверов. В левой панели выберите пункт Все серверы для просмотра всех добавленных для управления серверов. Если необходимого сервера нет в списке, в меню Управление выберите команду Добавление серверов. Откроется одноименное диалоговое окно.
2.	В окне Добавление серверов есть две панели:
»	Active Directory (выбрана по умолчанию) — позволяет ввести короткое или полное имя удаленного сервера, работающего под управлением Windows Server. Введите имя сервера и нажмите кнопку Найти;
»	DNS — позволяет добавить серверы по имени или IP-адресу. Введите имя или IP-адрес и нажмите кнопку Поиск.
3.	Дважды щелкните на найденном сервере для помещения его в список Выбрано.
4.	Повторите действия 2—3 для добавления других серверов. Нажмите кнопку ОК.
Глава 1. Управление серверами на базе Windows Server
Рис. 1.11. Все серверы
1.8. Добавление и удаление ролей, ролевых служб и компонентов
В меню Управление есть две ключевые команды для работы с ролями и компонентами:
1. Добавить роли и компоненты — запускает мастер добавления ролей и компонентов, который используется для установки ролей и компонентов на сервере, добавленном для управления;
2. Удалить роли и компоненты — запускает мастер удаления ролей и компонентов, используемый для деинсталляции ролей и компонентов на серверах, доступных для администрирования.
В ОС Windows Server 2019 можно установить роли, компоненты и виртуальные жесткие диски на запущенных серверах (без разницы — виртуальных или физических). Серверы должны быть добавлены в Диспетчер серверов и находиться в онлайн-режиме. Виртуальные жесткие диски, с которыми необходимо работать, не должны быть в онлайн-режиме, они должны быть доступны для выбора. Учитывая все это, добавить роль сервера или компонент можно с помощью следующих действий:
1.	В консоли Диспетчер серверов в меню Управление выберите команду Добавить роли и компоненты. Будет запущен мастер добавления ро-
□Е
Справочник системного администратора
лей и компонентов. Если мастер отобразить страницу Перед началом работы (рис. 1.12), прочитайте вступительный текст и затем нажмите кнопку Далее. Можно отказаться от просмотра этой страницы при каждом запуске мастера, установив флажок Пропускать эту страницу по умолчанию перед нажатием кнопки Далее.
Мастер добавления ролей и компонентов
Перед началом работы
КОНЕЧНЫЙ СЕРВЕР WIN-USOGBECmS
Перед началом работы
Тип установки
Выбор сервера
Этот мастер поможет вам установить роли, службы ролей или компоненты. Определите, что нужно установить, на основании потребностей своей организации, таких как общий доступ к документам или размещение веб-сайта
Чтобы удалить роли, службы ролей или компоненты.
Запустить мастер удаления ролей и компонентов
Прежде чем вы продолжите, убедитесь, что выполнены следующие задачи:
	Учетная запись администратора защищена надежным паролем
•	Настроены сетевые параметры, такие как статические IP-адреса
•	Установлены новейшие обновления безопасности из Центра обновления Windows
Если вам требуется проверить, выполнены ли какие-либо предшествующие необходимые условия, закройте мастер, выполните необходимые шаги и запустите мастер снова.
Чтобы продолжить, нажмите кнопку “Далее’’,
О Пропускать эту страницу по умолчанию
« Назад Далее ?.
Установить
□ X
Рис. 1.12. Перед нецелом роботы
2.	На странице Выбор типа установки по умолчанию отмечен переключатель Установка ролей или компонентов (рис. 1.13). Нажмите кнопку Далее.
3.	На странице Выбор целевого сервера можно указать, где нужно установить роли и компоненты — на сервере или виртуальном жестком диске (рис. 1.14). Когда будете готовы продолжить, нажмите кнопку Далее.
4.	На странице Выбор ролей сервера выберите одну или несколько ролей для установки. Если для установки роли требуются дополнительные компоненты, будет отображено дополнительное диалоговое окно. Нажмите кнопку Добавить компоненты для добавления необходимых компонентов в инсталляцию сервера. Нажмите кнопку Далее для продолжения. Если вам нужно установить компонент сервера, не обязатель-
.62.
Глава 1. Управление серверами на базе Windows Server
Мастер добавления ролей и компонентов
Выбор типа установки
КОНЕЧНО-? CEPSEP WN-LGOGBECffJS
П€ еД -Зм£Г«0\ _
Тип установки
Вь бор терьера
Выберите тип установку!. Вы можете установить роли и компоненты на работающем физическом компьютере, на виртуальной машине или на автономном виртуальном жестком диске (VHD).
•	Установка ролей или компонентов
Настройте один сервер путем добавления ролей служб ролей и компонентов.
С Установка служб удаленных рабочих столов
Установите службы ролей для инфраструктуры виртуальных рабочих столов (VDI), чтобы создать развертывание на основе виртуальных компьютеров или сеансов.
Установить Отмена
Рис. 1.13. Выбор типа установки
Мастер добавления ролей и компонентов
Выбор целевого сервера
КОНЕЧНЫЙ СЕРВЕР
W\ LGCG8EOTK
Пеоед чачагом работе ~ип учгановки
Роли сервера
Комгоне~”ы
Выберите сервер или виртуальный жесткий диск, на котором будут установлены роли и компоненты.
•	Выберите сервер из пула серверов
С Выберите виртуальный жесткий диск
Пул сервере в
Фильтр
IP-адрес Операционная сис тема
I Имя
192 168 84 169 Май.  Windows Server 2019 Standard
I................................................................ - ----------------
Найдено компьютеров 1
На этой странице показаны серверы под управлением Windows Server 2012 или более нового выпуска Windows Server, которые были добавлены с помощью команды ’Добавить серверы в диспетчере серверов. Не выводятся автономные серверы и добавленные новые серверы, данные с которых пека полностью не получены.
«Назад [ Далее > j ^днгви’* j Отмена
Рис. 1.14. Выбор сервера: Windows Server 2019 поддерживает серверы под управлением Windows Server 2019, 2016 и 2012
[ < Назад ;	\ j
[ 63 '
Справочник системного администратора
но выбирать какую-либо роль. Например, для установки компонента Система архивации данных Windows Server на странице Выбор ролей сервера ничего не выбирайте, а просто нажмите Далее, а на следующей странице уже выберите необходимый компонент.
Мастер добавления ролей и компонентов
Выбор ролей сервера
КОНЕЧНЫЙ СЕРВЕР
W1MGOGBECFFJS
Выберите одну или несколько ролей для установки на этом сервере.
Описание
Перед началом рабств
Тип установки
В= сг-ве-а
Компснентэ-
□	SSESSSsS
| DNS-сервер
□	Hyper-V
О Аттестация работоспособности устройств
□	Веб-сервер (IIS)
О Доменные службы Active Directory
□	Служба опекуна узла
О Службы Active Directory облегченного доступа к П Службы Windows Server Update Services
Г "| Службы активации корпоративных лицензий
[ J Службы печати и документов
[ Службы политики сети и доступа О Службы развертывания Windows О Службы сертификатов Active Directory О Службы удаленных рабочих столов | | Службы управления правами Active Directory [3 Службы федерации Active Directory
Удаленный доступ
 Файловые службы и службы хранилища (Устанс
DHCP-сервер позволяет централизованно настраивать временные IP-адреса и связанные с ними данные предоставлять их клиентским компьютерам, а также управлять ими.
[~ « Назад J I Далее > I
Установить Отмена
Рис. 1.15. Выбор ролей сервера
5.	На странице Выбор компонентов выберите один или несколько компонентов для установки (рис. 1.16). Если нужно установить дополнительные компоненты, от которых зависит устанавливаемый компонент, будет отображено соответствующее диалоговое окно. Нажмите кнопку Добавить компоненты для закрытия этого окна и установки требуемых компонентов на сервер. По окончанию выбора компонентов нажмите кнопку Далее.
6.	В случае с некоторыми ролями будут показаны дополнительные страницы мастера, на которых нужно будет предоставить дополнительную информацию относительно использования и настройки роли. Также можно установить дополнительные ролевые службы как часть роли.

Глава 1. Управление серверами на базе Windows Server
L Мастер добавления ролей и компонентов
Вь'бор компонентов
КОНЕЧНЫЙ СЕРВЕР WN-tGOGeEOTJS
Перед началом работы
’ип установки Выбор сервера Роли сервера
Подтверждение
Выберите один или несколько компонентов для установки на этом сервере.
Компоненты
Описание
Provides services to collect and archive Windows Server system data.
Установить | Отмена
Рис. 1.16. Выбор компонентов: установка системы архивации
7.	На странице Подтверждение установки компонентов щелкните по ссылке Экспорт параметров конфигурации для создания отчета установки, который можно просмотреть в Internet Explorer (рис. 1.17).
8.	Для начала установки нажмите кнопку Установить. Если нужно, включите параметр Автоматический перезапуск конечного сервера, если требуется. Будьте осторожны с этой опцией при установке компонента/ роли на реальный работающий сервер. Вполне возможно, его перезапуск возможен только вне бизнес-времени - тогда можно будет сервер не перезагружать сразу, а сделать это позже - вручную.
9.	О завершении установки выбранных ролей и компонентов сообщит страница Ход установки (рис. 1.18). Просмотрите подробности установки и убедитесь, что все фазы инсталляции завершены успешно. Нажмите кнопку Закрыть.
Для удаления роли сервера или компонента в меню Управление выберите команду Удалить роли и компоненты. Далее нужно использовать мастер удаления ролей и компонентов аналогично установке роли/компонента, только нужно галочку в списке роли/компонента не устанавлйвать, а снимать. Все предельно просто.

Справочник системного администратора
Мастер добавления ролей и компонентов
Подтверждение установки компонентов
КОНЕЧНЫЙ СЕРВЕР
WIN-LGOGBECFFJS
Перед началом работы Тип установки
Выбор сервера
Роли сервера
Компоненты
Чтобы установить на выбранном сервере следующие роли, службы ролей или компоненты, нажмите кнопку “Установить'.
перезапускесли	..............
На этой странице могут быть отображены дополнительные компоненты (например, средства администрирования), так как они были выбраны автоматически. Если вы не хотите устанавливать эти дополнительные компоненты, нажмите кнопку "Назад*, чтобы снять их флажки.
| —--------------------- ----------------
Система архивации данных Windows Server
Экспорт параметров конфигурации
Указать альтернативный исходный путь
| < Назад | Далее > I | Установить^ [ Отмена j
Рис. 1.17. Подтверждение установки компонентов
Вь Мастер добавления ролей и компонентов
Ход установки
КОНЕЧНЫЙ СЕРВЕР W1N-U3OGBECFFJS
Просмотр хода установки
О Установка компонента
□ X
□ X
Этот мастер можно закрыть, не прерывая выполняющиеся задачи. Наблюдайте за ходом gg выполнения задачи или откройте эту страницу снова, выбрав на панели команд пункт "Уведомления* а затем "Сведения о задаче".
Экспорт параметров конфигурации
«	1 ; Далее > .	[ З..РЫ.ГТ
Отмена
Рис. 1.18. Компонент установлен
66
Глава 2.
Мониторинг процессов, сервисов и событий
Справочник системного администратора
Администратору нужно тщательно присматривать за сетевыми системами. Состояние использования системных ресурсов может измениться в любой момент и вовсе не в лучшую сторону. Службы могут перестать работать. В файловых системах может закончиться свободное пространство. Приложения могут порождать исключительные ситуации, что приведет к системным проблемам. Неавторизированные пользователи будут попытаться получить несанкционированный доступ. Методы, рассмотренные в этой главе, помогут идентифицировать и разрешить эти и другие системные проблемы.
2.1. Управление процессами и приложениями
Когда вы запускаете приложение или вводите команду в командной строке, операционная система запускает один или более процессов. Все запускаемые процессы называются интерактивными, поскольку пользователь взаимодействует с ними с помощью клавиатуры или мыши. Если приложение (или программа) активно и выбрано, интерактивный процесс контролирует клавиатуру и мышь, пока пользователь не завершит программу или не выберет другую.
Однако процесс может работать и в фоновом режиме, такие процессы называют фоновыми. Фоновые процессы могут выполняться независимо от пользовательского сеанса; обычно такие процессы запускает сама операционная система. Пример такого фонового процесса — задание планировщика, которое запускает сама операционная система. В этом случае пользователь говорит системе, что ей нужно выполнить команду в указанное время.
Глава 2. Мониторинг процессов, сервисов и событий
2.1.1. Диспетчер задач
Для управления системными процессами и приложениями используется Диспетчер задач. Есть несколько способов открыть Диспетчер задач в Windows Server 2019:
•	С помощью комбинации клавиш Ctrl + Shift + Esc.
•	С помощью щелчка правой кнопки мыши на кнопке открытия главного меню (ранее кнопка Пуск) - в появившемся меню нужно выбрать команду Диспетчер задач.
•	С помощью команды taskmgr (ее можно ввести в командной строке, в окне Выполнить, которое появляется при нажатии комбинации Win + R или в любом другом средстве запуска приложений).
Вкладка "Процессы"
У диспетчера задач есть два представления:
•	Сводка — перечисляются только приложения, запущенные в интерактивном режиме, что позволяет быстро выбирать такие приложения;
•	Подробный вид — расширенное предоставление, где есть дополнительные вкладки, которые можно использовать для получения информации обо всех запущенных процессах, производительности системы, подключенных пользователях и настроенных службах.
Находясь в первом представлении, переключиться во второе представление можно нажатием кнопки Подробнее. Для переключения со второго представления в первое используется кнопка Меньше. При повторном открытии диспетчера задач он будет находиться в последнем выбранном представлении.
Для администратора представляет интерес именно расширенное представление. В нем есть несколько вкладок (рис. 2.1), позволяющих работать с запущенными процессами, производительностью системы, подключенными пользователями и настроенными службами. Вкладка Процессы, также показанная на рис. 2.1, показывает общий статус процессов. Процессы группируются по типу и выводятся в алфавитном порядке в пределах каждого типа. Есть три общих типа процессов:
[ 69
Справочник системного администратора
•	Приложения — процессы, запущенные в интерактивном режиме;
•	Фоновые процессы — процессы, работающие в фоновом режиме;
•	Процессы Windows — процессы, запускаемые операционной системой.
Диспетчер задач	—	□ X
файл Параметры Вид Процессы Производительность Пользователи Подробности Службы
'	5%	63%
Имя	Состояние i ЦП Память * У
Приложения (4)
> Дь Server Manager
> £1 Диспетчер задач
> Q Параметры
> Г» Проводник
Фоновые процессы (25)
> TF Antimalware Service Executable
У Application Frame Host
• COM Surrogate
> У COM Surrogate
дЙГ CTF-загрузчик
М«ньше
0,6%	152,0	МБ
1,2%	14.8	МБ
0%	192 МБ
0%	22.1	МБ
0%	1612	МБ
0%	4,7	МБ
0%	2,0	МБ
0%	3,1	МБ
0%	3.7	МБ
Смять задачу
Рис. 2.1. Диспетчер задач в расширенном представлении
При просмотре списка процессов учитывайте следующее:
• Многие Windows-процессы также группируются по узлу службы, под управлением которой они работают. Узлы службы могут быть такими: Локальная служба, Локальная система, Сетевая служба. В круглых скобках указывается число сгруппированных процессов. Чтобы просмотреть фактические процессы, можно развернуть узел. В меню Вид есть команда Развернуть все для разворачивания всех групп процессов для более простого просмотра.
• В меню Вид также есть команда Группировать по типу, определяющая, будут ли процессы группироваться по типу или выводиться просто в алфавитном порядке.
• Также заметьте, что можно запустить программу прямо из диспетчера задач. Для этого в меню Файл выберите команду Запустить новую зада-
70J
Глава 2. Мониторинг процессов, сервисов и событий
чу. В появившемся окне у вас будет возможность выбрать исполняемый файл программы и запустить задачу с правами администратора.
•	Колонка Состояние позывает, выполняется ли приложение или же остановлено. Если в этой колонке ничего нет, это означает нормальное выполнение процесса. Любое другое значение в этой колонке свидетельствует о наличии какой-то проблемы, например, приложение может «зависнуть», и администратору придется завершить соответствующую ему задачу. Однако некоторые приложения могут не отвечать на запросы системы во время интенсивных вычислений. Поэтому перед завершением задачи убедитесь, что приложение действительно зависло.
Для завершения процесса нужно выбрать его и нажать кнопку Снять задачу. Однако не нужно пытаться завершить работу Windows-процессов с помощью этой кнопки. При попытке остановить Windows-процесс или группу процессов диспетчер задач отобразит предупреждение, что завершение данного процесса может привести к нестабильной работе системы и даже завершению работы. Чтобы продолжить, нужно установить флажок Не сохранять данные и завершить работу и нажать кнопку Завершить работу.
Примечание. Учтите, что даже администратор не может завершить некоторые системные процессы. Например, при попытке завершить процесс Antimalware Service Executable (процесс антивируса) вы получите сообщение «Отказано в доступе». Чтобы выключить временно антивирус, откройте окно Параметры, перейдите в раздел Безопасность Windows, нажмите кнопку Открыть службу «Безопасность Windows», перейдите в раздел Защита от вирусов и угроз, щелкните по ссылке Управление настройками, выключите параметр Защита в режиме реального времени (рис. 2.2). Только так можно отключить антивирус Защитник Windows. Немного запутанно, но другого способа нет.
Другие колонки вкладки Процессы предоставляют дополнительную информацию о выполнении процессов. Эти сведения можно использовать, чтобы определить, какие процессы потребляют больше всех системных ресурсов. По умолчанию на вкладке отображаются только столбцы ЦП и Память, но добавить дополнительные можно, щелкнув правой кнопкой мыши по любому заголовку и затем выбрав нужный столбец из появившегося меню. В дополнение к названию и состоянию, доступны следующие столбцы:
Справочник системного администратора
Параметры
безопасность Windows
fit Главная
Обновление и безопасность
Б, о! =
Ф
Ы й>
о Параметры защиты от вирусов и других угроз
Центр обновлении Windows
Оптимизация доставки
Безопасность Windows
г»
Устранение неполадок
Восстановление
|о
Ol
(<li
Op)
Просмотрите и обновите параметры защиты от вирусов и угроз для антивирусном программы 'Защитника Windows'.
Защита в режиме реального времени
Обнаруживает и останавливает установку или запуск вредоносных программ на вашем устройстве Можно на короткое время отключить этот параметр, после чего он будет снова включен автоматически.
Н.»йти пэраметр
й
q
I


q
©
Облачная защита
Обеспечивает улучшенную и ускоренную защиту благодаря доступу к новейшим данным о защите в облаке. Д/ь наичучието результата рекомендуется включить функцию автоматической отправки
©
Активация
к
Для разработчиков
л. О <9 »

Рис. 2.2. Отключение процесса антивируса
•	ЦП — процент использования процессора текущим процессом (по всем ядрам). Значение в заголовке — общее использование процессора (по всем ядрам) всеми запущенными процессами;
•	Память — общий объем памяти, зарезервированный для процесса. Значение в заголовке столбца — общее использование физической памяти сервером;
•	Командная строка — полный путь к исполняемому файлу процесса, а также любые переданные при запуске аргументы;
•	ИД процесса — числовой идентификатор процесса;
•	Имя процесса — имя процесса или исполняемого файла процесса;
•	Издатель—название издателя процесса, например, Microsoft Corporation;
•	Тип — тип процесса (приложение, фоновый процесс, Windows-процесс).
Эта информация полезна, если опция Группировать по типу в меню Вид . выключена
Щелчок правой кнопкой мыши по процессу отображает контекстное меню действий над ним:
•	Снять задачу — завешает задачу приложения;
•	Создать файл дампа — создает файл дампа для отладки;
[ 72 ]
Глава 2. Мониторинг процессов,сервисов и событий
•	Подробно — открывает страницу Подробности и отображает на ней выбранный процесс;
•	Открыть расположение файла — открывает папку, в которой находится исполняемый файл процесса;
•	Свойства — открывает окно Свойства для соответствующего исполняемого файла процесса.
Вкладка "Подробности". Изменение приоритета процесса
Вкладка Подробности диспетчера задач (рис. 2.3) предоставляет подробную информацию о запущенных процессах. Столбцы, по умолчанию отображаемые на этой вкладке, подобны тем, которые отображаются на вкладке Процессы. Колонка Виртуализация UAC отображает состояние виртуализации UAC (User Account Control) для определенного процесса.
Диспетчер задач
файл Параметры Пид
Процессы Производительность Пользователи Подробности Службы
Имя	ИДя_	Состояние	Имя пользователя	ЦЯ	Память <активн_.	Виртуализация UAC	л
ApplicationFrameHo .	1836	Выполняется	Администратор	00	3 616 К	Не разрешено	
V csrss.exe	380	Выполняется	СИСТЕМА	00	1 384 К	Не разрешено	
^csrssexe	460	Выполняется	СИСТЕМА	00	1 392 К	Не разрешено	
jif ctfmon.exe	772	Выполняется	Администратор	00	3832 К	Не разрешено	
^dllhostexe	3008	Выполняется	СИСТЕМА	00	3196 К	Не разрешено	
''=dllho$t.exe	4332	Выполняется	Администратор	00	2 128 К	Не разрешено	
•'dwm^xe	920	Выполняется	DWM-1	00	28 580 К	Отключено	
rt explorer.exe	1468	Выполняется	Администратор	00	22 236 К	Не разрешено	
fontdrvhostexe	752	Выполняется	UMFD-0	00	1 100 К	Отключено	
’1 fontdrvhostexe	760	Выполняется	UMFD-1	00	1 492 К	Отключено	
3? isassexe	620	Выполняется	СИСТЕМА	00	5448К	Не разрешено	
«: ManagementAgentH	2320	Выполняется	СИСТЕМА	00	2 696 К	Не разрешено	
msdtc.exe	1832	Выполняется	NETWORK SERVICE	со	2 292 К	Не разрешено	
T; MsMpEng.exe	2296	Выполняется	СИСТЕМА	00	160 352 К	не разрешено	
’ NisSrv.exe	3236	Выполняется	LOCAL SERVICE	00	2 552 К	Не разрешено	
Ян Registry	88	Выполняется	СИСТЕМА	00	984 К	Не разрешено	
7Г RunttmeBroker.exe	1840	Выполняется	Администратор	00	3 320 К	Не разрешено	
' RunttmeBroker^xe	956	Выполняется	Администратор	00	19 728 К	Не разрешено	
X RunttmeBroker.exe	4372	Выполняется	Администратор	00	2 200 К	Не разрешено	V
Меньше							Снять задачу
Рис. 2.3. Вкладка Подробности
Вкладка Подробности интересна администратору дополнительными столбцами, предоставляющими много интересной информации о процессе. Если щелкнуть правой кнопкой мыши по заголовку любого столбца и выбрать
73J
Справочник системного администратора
Выбор столбцов
Выберите столбцы, которые будут отображаться в таблице.
11 | пня пакета
10 ИД процесса
i 0 Состояние
: 0 Имя пользователя
10 ИД сеанса
I 0 ИД объекта задания
:0цп
i 0 Время ЦП
10 Цикл
| | Рабочий набор (память)
10 Пиковый рабочий набор (память)
11 I Дельта рабочего набора (память)
ОК	Отмена
Рис. 2.4. Дополнительные столбцы
команду Выбрать столбцы, можно добавить дополнительные колонки, которые пригодятся при решении системных проблем.
•	Базовый приоритет — определяет, сколько системных ресурсов будет выделено процессу. Для установки приоритета щелкните правой кнопкой мыши по процессу и выберите команду Задать приоритет. Затем выберите приоритет: Низкий, Ниже среднего, Обычный, Выше среднего, Высокий, Реального времени. Большинство процессов выполняется с обычным приоритетом. Наивысший приоритет у процессов реального времени.
•	Время ЦП — общее процессорное время, использованное процессом с момента его запуска. Чтобы просмотреть процессы, использующие больше всего процессорного времени, отобразите эту колонку и щелкните на ее заголовке для сортировки записей по процессорному времени.
•	Предотвращение выполнения данных — показывает, включена ли функциональность DEP для этого процесса.
•	С более высоким уровнем разрешений — показывает, выполняется ли процесс с правами администратора.
•	Дескрипторы — общее число дескрипторов, связанных с процессом. Используйте число дескрипторов, чтобы определить, сколько файлов открыл процесс. Некоторые процессы открывают тысячи файлов, что
74
Глава 2. Мониторинг процессов.сервисов и событии
расходует системную память. Однако большое количество открытых дескрипторов не означает, что процесс нужно сразу «убить». Нет. Нужно выполнить его настройку, чтобы уменьшить количество потребляемых ресурсов.
Операций чтения, Операций записи — общее число операций дискового ввода/вывода (I/O) с момента запуска проекта. Общее число операций чтения и записи говорит о том, как активно процесс использует диск. Если число операций чтения/записи растет непропорционально фактической активности сервера, процесс может не использовать кэширование файлов или же кэширование не настроено должным образом. В идеале кэширование сокращает потребность в операциях ввода/вывода.
Ошибки страницы — ошибки страниц возникают, когда процесс запрашивает страницу в памяти, которую система не может найти в запрашиваемом месте. Если страница находится где-то в памяти, ошибка называется мягкой. Если же запрашиваемая страница находится на диске, ошибка называется жесткой. Большинство процессоров может обработать огромное число мягких ошибок. Жесткие ошибки вызывают существенные задержки.
Выгружаемый пул, невыгружаемый пул — выгружаемый пул — область системной памяти для объектов, которые могут быть записаны на диск, если они не используются. Невыгружаемый пул — область системной памяти для объектов, которые не могут быть записаны на диск. Отметьте процессы, требующие большого объема невыгружаемой памяти. Если недостаточно свободной памяти на сервере, эти процессы могут стать причиной большого количества ошибок страниц.
Пиковый рабочий набор — наибольшее количество памяти, используемой процессом. Разница, или дельта, между текущим использованием памяти и пиковым значением также важна. Приложения с большой дельтой между использованием базовой памяти и пиковым рабочим набором, как например Microsoft SQL Server, нуждаются в выделении большего объема памяти при запуске — так они будут лучше работать.
Платформа — платформа, для которой предназначен процесс (32- или 64-битные). 64-разрядные версии Windows могут выполнять 64- и 32-раз-рядные приложения, используя уровень эмуляции WoW64 (Windows on Windows 64) x86. Подсистема WoW64 изолирует 32-разрядные приложения от 64-разрядных. Это позволяет избежать проблем с файловой системой и реестром.
ИД процесса — числовой идентификатор процесса.
Г75
Справочник системного администратора
•	ИД сеанса — идентификатор сеанса, в котором запущен процесс.
•	Потоки — текущее число потоков, используемых процессом. Большинство серверных приложений являются многопотоковыми. Многопоточность допускает параллельное выполнение запросов процесса. Некоторые приложения могут динамически управлять числом параллельно выполняющихся потоков для улучшения производительности приложения. Однако слишком много потоков может фактически уменьшить производительность, поскольку операционная система должна слишком часто переключать контексты потока.
•	Виртуализация UAC — показывает, включена ли виртуализация контроля учетных записей (User Account Control, UAC). Виртуализация может быть включена, выключена или не поддерживаться процессом. Виртуализация необходима для очень старых приложений, написанных для Windows ХР, Windows Server 2003 и более ранних версий Windows. Когда виртуализация контроля учетных записей включена, уведомления об ошибках и протоколирование ошибок, связанных с виртуализирован-ными файлами и значениями реестра, будут записаны в виртуализиро-ванное расположение, а не в фактическое, в которое процесс пытался записать. Если виртуализация выключена или не поддерживается, при попытке записать данные в защищенные папки или области реестра, процесс прекратит свою работу.
Примечание. В списке диспетчера задач есть специальный процесс — Бездействие системы. Нельзя установить приоритет для этого процесса. В отличие от других процессов, для этого процесса выводится количество свободных ресурсов (которые не используются). Так, 99% в колонке ЦП (CPU) для бездействия системы означает, что система практически не используется.
Помните, что одно приложение может запускать несколько процессов. Эти процессы зависимы от центрального процесса. Начиная с этого главного процесса, формируется дерево процесса, состоящее из зависимых процессов. Найти главный процесс приложения можно, щелкнув на нем правой кнопкой мыши на вкладке Процессы и выбрав команду Подробно. При завершении приложения нужно завершить основной процесс приложения, а не зависимые процессы. Это гарантирует, что приложение будет корректно остановлено.
Глава 2. Мониторинг процессов, сервисов и событий
Чтобы закрыть основной процесс приложения и все зависимые процессы, можно выполнить одно из следующих действий:
•	находясь на вкладке Процессы, щелкните на приложении правой кнопкой мыши и выберите команду Снять задачу;
•	находясь на вкладке Подробности, щелкните правой кнопкой мыши на главном процессе приложения и выберите команду Снять задачу;
•	находясь на вкладке Подробности, щелкните правой кнопкой мыши на главном или зависимом процессе и выберите команду Завершить дерево процессов.
Вкладка "Службы". Просмотр системных служб
Вкладка Службы диспетчера задач предоставляет обзор системных служб. Вкладка отображает имя службы, ИД процесса, описание, состояние и группу службы. У нескольких служб может быть один и тот же ИД процесса (рис. 2.5). Можно быстро отсортировать службы по их ИД процесса, щелкнув по соответствующему заголовку. Аналогично, можно отсортировать службы по их состоянию — Выполняется или Остановлено.
* ". Диспетчер задач
Файл Параметры Вид
Процессы Производительность Пользователи Подробности Службы
Имя	ИД П-
-^tAJRouter ^ALG ^AppIDSvc ^Appinfo 1100 4 AppMgnrt -t^AppReadiness MiAppVChent AopXSvc «i-.AudioEndpo- 1012
Audiosrv	1900
.^AxInstSV ^BFE	1932
^BITS BrokednfrasL.. 724 BTAGServKe BthAvctpSvc 1076 tbthsefv M^camsvc -S^CaptureServL
Описание
Служба маршрути.. Служба шлюза ур_ Удостоверение п„ Сведения о прил_.
Управление прил_. Готовность прило... Microsoft App-V CL Служба оазвеоть Средство построе... Windows Audio Установщик Actw„ Служба базовой... Фоновая интелле-Служба инфрастр... Служба звукового,.. Служба AVCTP Служба ладдержк-Служба диспетче-CaptureServtce
Состояние Остановлен Остановлен Остановле... Выполняем Остановле-Остановле. Остановле-Остановле-Выполняет-Выполняет.. Остаковле... Выполняет... Остановле.
Выполняет-Остановле.
Выполняет-Остановле-Остановлен. Остановле-
Группа LocaiServic_
LocalSenric... netsves netsves AppReadin-
wsappx LocatSyste. LocaiServic. AxlnstSVGf-
LocalServic... netsves DcomLaunch LocatServic_ LocafService
LocalService appmodei LocalService
.Меньше Открыть службы
Рис. 2.5. Просмотр системных служб
Справочник системного администратора
Колонка Группа предоставляет дополнительную информацию о контекстах узла службы, под которым выполняется служба. Для служб, работающих с ограничениями, эти ограничения указываются в колонке Группа. Например, если для локальной службы в колонке указано LocalServiceNoNetwork, это означает, что у службы нет доступа к сети; также может быть указано LocalServiceNetworkRestricted, т. е. у службы ограниченный доступ к сети. Некоторые службы выполняются через Svchost.exe (параметр -к). Например, служба RemoteRegistiy запускается командой svchost.exe -k regsvc. В колонке Группа для нее будет значение regsvc.
Если щелкнуть правой кнопкой мыши (или нажать и удерживать палец) по службе, появится контекстное меню, позволяющее выполнить следующие операции над службой:
•	запустить остановленную службу;
•	остановить работающую службу;
•	перейти к процессу службы на вкладку Подробности.
Вкладка "Производительность"
Вкладка Производительность предоставляет общую информацию об использовании ЦП и памяти и отображает графики и статистику (рис. 2.6). Эта вкладка позволяет быстро получить данные об использовании системных ресурсов.
Графики на вкладке Производительность предоставляют следующую информацию:
•	ЦП — график использования ЦП в разрезе времени;
•	Память — график использования памяти в разрезе времени;
•	Ethernet — график использования сети в разрезе времени.
Для просмотра подробной информации в области справа щелкните по сводному графику на левой панели вкладки. Чтобы увидеть крупный план любого графика, дважды щелкните по нему. Повторный двойной щелчок возвращает прежний режим просмотра.
В меню Вид вы найдете команду Скорость обновления, которая позволяет изменять скорость обновления графика. При низкой скорости график об-
Глава 2. Мониторинг процессов, сервисов и событии
новляется каждые 4 секунды, 2 секунды при обычной скорости и дважды в секунду при высокой скорости.
Информацию с графика ЦП можно использовать для быстрого определения времени работы сервера (с момента запуска), числа физических процессоров, числа логических процессоров, кэша процессора (LI, L2, L3), а также определения, включена ли аппаратная виртуализация.
•	Дескрипторы — показывает число используемых дескрипторов ввода-вывода, которые действуют как токены, позволяющие программам получать доступ к ресурсам. Пропускная способность ввода-вывода и производительность дисковой подсистемы влияют на систему больше, чем высокое число дескрипторов ввода-вывода.
•	Потоки — показывает число используемых потоков, поток — базовая единица выполнения в пределах процесса.
•	Процессы — показывает число используемых процессов. Процессы — это запущенные экземпляры исполнимых файлов программы.
•	Время работы — показывает, как долго система работает с последнего запуска.

Справочник системного администратора
При выборе режима Память график Использование памяти покажет общее использование частного рабочего набора за последние 60 секунд. Гистограмма Структура памяти показывает следующее:
•	Используется — объем памяти, используемый процессами;
•	Изменено — память, содержимое которой необходимо записать на диск, прежде чем использовать ее в других целях;
•	Зарезервировано — память, содержащая кэшированные данные и код, которые сейчас не используются;
•	Свободно — память, которая сейчас не используется ни для каких целей.
Iх” Диспетчер задач	—	□ X
файд Параметры £ид Процессы [ Производительность1 Пользователи Подробности Службы
О ЦП
22% £71 ГГц
О Память
2.О/З.О ГБ (67%)
О Ethernet
СУ О кбит/с П. О кбит/с
Intel(R) CorefTM) i5-72OOU CPU @ 2 50GHz
100%
ЦП
Исполыуетса %
60 секунд	0
Использование Скорость	Базеззя скорость.	2,71 Пц
22%	2,71 ГГц	1
Виртуальные процессоры: 2
Процессы Потоки Дескрипторы Ьир-уа,вная Уашинз.	да
65	895	31844	кэши:	н/д
Время работы
0:12:19:39
Меньше Открыть монитор ресурсов
Рис. 2.7. Информация о памяти
Общий объем физической памяти сервера выводится в правом верхнем углу при работе с графиком памяти. Снизу под графиком выводится следующая информация:
•	Используется — сколько физической памяти используется;
•	Доступно — показывает объем физического ОЗУ, доступный для использования (включает память, помеченную как «зарезервировано» и «свободно»). Должно быть не менее 5% свободной физической памяти
80]
Глава 2. Мониторинг процессов.сервисов и событий
на сервере. Если доступно менее 5%, сервер пора модернизировать - или добавить память в панели управления (если речь идет о виртуальном сервере) или установить модуль памяти (для физического сервера).
•	Выделено — показывает виртуальную память, используемую в данный момент и общий объем виртуальной памяти. Если первое значение всего лишь на 10% меньше второго (общий объем), тогда нужно добавить физическую память и/или добавить виртуальную память (увеличить файл подкачки).
•	Кэшировано — показывает объем памяти, используемой для системного кэша.
•	Выгружаемый пул — предоставляет информацию о некритической памяти ядра, которая используется ядром ОС.
•	Невыгружаемый пул — предоставляет информацию по критической памяти ядра, которая используется ядром ОС.
При выборе режима Ethernet диспетчер задач отобразит общую информацию об использовании сетевых адаптеров системы. Можно учитывать эти сведения для быстрого определения процента использования, скорости соединения и операционного статуса использования каждого сетевого адаптера, настроенного в системе.
Имя активного сетевого адаптера отображается в правом верхнем углу. Если в системе есть всего один сетевой адаптер, график показывает информацию об использовании только этого сетевого адаптера. Если у системы есть несколько сетевых адаптеров, график выводит общую информацию по всем сетевым соединениям, обо всем сетевом трафике.
Вкладка "Пользователи"
Удаленные пользователи могут использовать удаленный рабочий стол для подключения к серверу. Удаленный рабочий стол позволяет администрировать системы удаленно, как будто это локальные системы. Операционная система Windows Server 2019 поддерживает два активных одновременных сеанса. О настройке RDP мы поговорим в главе 16.
Один из способов контролировать .подключения удаленного рабочего стола заключается в использовании диспетчера задач. Откройте диспетчер задач
Справочник системного администратора
Диспетчер задач	—	□	X файл Параметры £ид Процессы Производительность Пользователи Подробности Службы '	8%	58% Пользователь	х	Состояние	ЦП Память
v fl Администратор (20)	7,1%	294,9 Мб S3 Application Frame Host	0%	3,5	МБ S? COM Surrogate	0%	2,1 МБ ЙГ CTF-загруэчик	0%	3,8 МБ лП Runtime Broker	0%	19.3	МБ ПР Runtime Broker	0%	2,1MB URl Runtime Broker	0%	3,2 MB Server Manager	0%	156,3	MB (•j Shell Infrastructure Host	0%	4,1	МБ SmartScreen Защитника...	0%	6,2	МБ Sj Usermode Font Driver Host	0%	1.5	МБ Cm VMware Tools Core Service	3,2%	15,3	МБ Q Windows Shell Experience ... Приостановле-	0%	0	МБ Диспетчер задач	2,6%	16,7	МБ ’S Диспетчер окон рабочег...	1,3%	28,1	МБ Q Поиск	Приостановле...	0%	0 МБ Лгчлгм1»	.ад.э.ллк	v

5 Меньше	Отключить

Рис. 2.8. Вкладка Пользователи
и перейдите на вкладку Пользователи (рис. 2.8). Данная вкладка показывает интерактивные сеансы пользователей (как локальные, так и удаленные).
Для каждого сеанса пользователя по умолчанию выводится имя пользователя, статус, загрузка ЦП, использование памяти. Другие колонки можно добавить с помощью правого щелчка мышью по заголовку и выбора нужной колонки. Доступны следующие варианты:
•	Код — идентификатор сессии.
•	Сеанс — тип сеанса. У пользователя, зарегистрировавшегося в системе локально, будет тип Console. В других случаях выводится тип соединения и используемый протокол, например, RDP-TCP для Remote Desktop Protocol (RDP) и TCP в качестве транспортного протокола;
•	Имя клиента — для удаленных соединений здесь выводится имя компьютера клиента;
•	ЦП и Память — они пригодятся при решении проблем производительности, связанных с зарегистрированными в системе пользователями. Общий процент использования по всём пользователям приводится в заголовке таблицы.
82
Глава 2. Мониторинг процессов, сервисов и событий
Если щелкнуть правой кнопкой мыши на сеансе пользователя, появится контекстное меню со следующими командами:
•	Подключить — позволяет подключиться к сеансу удаленного пользователя, если он неактивен;
•	Отключить — позволяет отключить сеанс удаленного или локального пользователя и завершить все запущенные пользователем приложения без сохранения данных;
•	Выход из системы — позволяет осуществить нормальный процесс выхода из системы. Приложения будут закрыты с сохранением данных так, если бы пользователь выполнил нормальный выход из системы
•	Отправить сообщение — позволяет отправить консольное сообщение зарегистрированному пользователю.
2.1.2. Управление службами
Службы предоставляют ключевую функциональность рабочим станциям и серверам. Для управления системными службами можно использовать панель Службы в Диспетчере серверов или узел Службы в оснастке Управление компьютером.
Откройте Диспетчер серверов и перейдите к панели Службы (в разделе Локальный сервер).
Рис. 2.9. Панель Службы
Справочник системного администратора
Панель Службы предоставляет информацию о зарегистрированных в системе службах в виде таблиц со следующими колонками:
•	Имя сервера — имя сервера, на котором запущена служба;
•	Полное имя сервера — полное доменное имя сервера, на котором запущена служба;
•	Отображаемое имя — отображаемое имя службы, используется для лучшего восприятия службы;
•	Имя службы — внутреннее название службы;
•	Описание — краткое описание назначения службы;
•	Состояние — состояние службы (может быть Выполняется, Приостановлена, Остановлена);
•	Тип запуска — тип запуска службы. Службы с автоматическим запуском загружаются при загрузке системы. Пользователи или другие службы могут запускать службы с типом запуска Вручную. Отключенные службы не могут быть запущены, пока их статус — Отключена.
Если какая-то из колонок у вас не отображается, щелкните на заголовке таблицы правой кнопкой мыши и выберите необходимые колонки.
Щелчок правой кнопкой мыши по службе открывает контекстное меню, в котором будут команды запуска, останова, приостановки, перезапуска и возобновления работы службы. Однако в этом меню не будет привычной команды Свойства, позволяющей изменить параметры службы, например, изменить ее тип запуска.
Запустите оснастку Управление компьютером, перейдите в раздел Службы и приложения, выберите узел Службы. Вы увидите привычное (если говорить о настольных версиях Windows) представление для администрирования служб, см. рис. 2.10.
Колонки таблицы с информацией о службах следующие:
•	Имя — имя службы. Здесь приводятся только службы, которые устанавливаются в системе. Двойной щелчок по имени службы позволит настроить параметры загрузки. Если нужной службы здесь нет, ее можно установить путем инсталляции соответствующей роли или компонента (см. главу 2);
•	Описание — короткое описание сервиса и его назначения;
Глава 2. Мониторинг процессов, сервисов и событий
jf Управление компьютером
файл Действие Вид Справа
4 Управление комльюте| * ti Служебные програм
> »*> Планировщик зад
W Просмотр событу-
*4 Общие папки
♦ Локальные лслвз
Произэодитеяьнс?
• Л Диспетчер устрой ~ й Запоминающие jKTP
& Система архиааи*
С Управление диоЦ v i । Службы г приложен
- © Маршрутизация vi Службы
4 Управ ЧЙЮЩИ? ЭТИ;
<лм»
Имя
Описание Состояние Тип запуска
CaptureServfc«_Sbaf3
службу
Описание Служба записи ОоеСоге
Позволяет..
Эта полы... Позволяет-Репзстрир-СлужбаО-Graphics р... Координи..
Manages А.,
iCoosentUX^5ba93
>CoreMessaging
,Device₽k*er_5i>e93 ;Devtcesfiow_5oe93 ,DHCP-клиент । DNS-клиент rG'aphtcd^’fSvc ,KtmRm для кооррт-rMtcroscift App-V Client
'OpenSSH Authenticate Agent to h_.
•“iPJug and Hay Позволяет... .:PnnftVorkflow_5ba93 Рабочий n..
 ,Quality Windows Audi- Quality Wi_ ,Shared PC Account №..
m-SMP дисковых прост. ,Sy$M«n
Я-TP AutoConnect Serve.. „ТР VC Gateway Service
ftjpdateOrchest'alorS-. Управляет. м,VMware Alias Manag„ Alias Mana._
Manages р...
Служба уз-Гл»ержи_
ThiflPnntC-
Выполняется
Выполняется
Выпсяняе’ся
Выполняется
Выполняется
Выполняется
Выполняется
Вручную Автоматике.
Отключена
Вручную Автомапече-Автома пече-Отключена
Вручную (ак... Отключена Отключена
Вручную
Вручную
Вручную Отключена
Вручную Автоыатиче-
Вручную
Вручную Детом аги че Автомат* че_
Вход от имени
Службы
..........;.УМ*-л	ДМОРС УМн.ж» Г
\Расширенный А Стандартный/
Локальная сис_ Локаль пая слу_ Локальная сие. Локальная еис_ Локальная слу-Сетевая служба Локальная сис. Сетевая служба Локальная сис_ Локальнаясис., Локальнаяснс-ЛокальнвясиС-Локальнаяслу. Локальная сис Сетевая служба Локальная сис_ Локальная сис_ Локальная сис_ Локальная сис. Локальная сис_ Пгугяяьнж ГМ-
Дополнителен- ►
Дополнительн.. ►
Рис. 2.10. Службы
•	Состояние — показывает статус службы (может быть Выполняется, Приостановлена, Остановлена);
•	Тип запуска — тип запуска службы. Службы с автоматическим запуском загружаются при загрузке системы. Пользователи или другие службы могут запускать службы с типом запуска Вручную. Отключенные службы не могут быть запущены, пока у них статус Отключена;
•	Вход от имени — учетная запись, от имени которой работает служба. В большинстве случаев служба запускается от имени Локальная система (Local System).
Администратору приходится часто запускать, останавливать или приостанавливать службы. Для запуска, остановки или приостановки службы щелкните по ее имени правой кнопкой мыши и выберите команду Запустить, Остановить, Приостановить соответственно. Можно также выбрать Перезапустить для остановки и повторного запуска сервиса после небольшой паузы. Если служба была приостановлена для восстановления ее нормальной работы выберите команду Продолжить.
Команда Свойства открывает окно свойств службы (рис. 2.11). Обычно данное окно используется для изменения типа запуска службы:
•	Автоматически — установите этот тип запуска для автоматического запуска службы во время загрузки системы;
Справочник системного администратора
Свойства: CaptureService_5ba93 (Локальный компьютер)	X
Общие Вход в систему Восстановление Зависимости
£эрШге$егу|се_5Ьа92
Отображаемое CaptureService_5ba93 имя:
Описание:	Служба записи ОпеСоге
Исполняемый файл
C\vVindows\system32\svchostexe -k LocalService -р
Inn запуска:	Вручную	v
Состояние:	Остановлена
Запустить >;тан-«еить Приостановить П,20»»сл* *итъ
Вы можете указать параметры запуска, применяемые при запуске службы из этого диалогового окна.
Параметры запуска:
ОК	Отмена Применять
Рис. 2.11. Окно свойств службы
• Автоматически (отложенный запуск) — выберите этот тип для отсрочки запуска службы, ее запуск будет отложен, пока не будут запущены все службы, запуск которых нельзя отложить;
• Вручную — выберите этот тип запуска, когда нужен ручной запуск службы;
• Отключена — выберите этот тип для выключения службы.
Настройка входа в систему
На вкладке Вход в систему можно настроить, как от имени системной учетной записи, так и от имени конкретного пользователя.
Необходимо отслеживать любые учетные записи, которые используются со службами. Эти учетные записи могут быть источником проблем безопасности, если не настроены должным образом. У таких учетных записей должны быть самые строгие настройки безопасности и как можно меньше полномочий, позволяющих службе выполнить только необходимые функ-
X
Глава 2. Мониторинг процессов, сервисов и событий
Свойства: CaptureService_5ba93 (Локальный компьютер)	X
Общие Вход в систему Восстановление Зависимости
Вход в систему
О С системной учетной записью
Разрешить взаимодействие с рабочим столом
Ofisop
Отмена Применить
Рис. 2.12. Вход в систему
ции. Как правило, учетные записи, используемые со службами, не требуют многих полномочий, которые присвоены нормальной учетной записи пользователя. Например, большинство учетных записей службы не требует права локального входа в систему. Каждый администратор должен знать, какие учетные записи службы используются (так, чтобы лучше отследить использование этих учетных записей), и должен обрабатывать их, как будто они являются учетными записями администратора. Это означает использование безопасных паролей, тщательный контроль использования учетной записи, тщательное назначение полномочий учетной записи и т. д.
Реакция на сбой службы
Вкладка Восстановление позволяет настроить реакцию на сбой службы. Например, попытаться перезапустить службу или запустить приложение. Здесь можно указать действия для первого, второго и всех последующих сбоев.
Справочник системною администратора
•	Не выполнять никаких действий — операционная система не будет восстанавливать службу для этого отказа, но она все еще может попытаться применить восстановление для предыдущего или последующего отказов.
•	Перезапуск службы — останавливает и затем запускает службу после непродолжительной паузы.
•	Запуск программы — позволяет запустить программу или сценарий в случае сбоя. Сценарий может быть командным сценарием или Windows-сценарием. Установите полный путь к исполняемому файлу программы, которую нужно запустить, а также в случае необходимости задайте параметры, которые будут переданы программе при ее запуске. Например, можно отправлять администратору сообщение о том, что произошел сбой службы.
•	Перезапуск компьютера — завершает работу и перезагружает компьютер. Перед выбором этой опции дважды проверьте параметры запуска и восстановления. Нужно, чтобы система выбрала умолчания быстро и автоматически.
Свойства: CaptureService_5ba93 (Локальный компьютер)
Общие Вход в систему Восстановление Зависимости
Действие компьютера, выполняемое при сбое службы Помощь npU
Застройке- действий по восстановлению5
Первый сбой
Второй сбой:
Последующие сбои
Перезапуск службы
Не выполнять никаких действий
Не выполнять никаких действий
Сброс счетчика ошибок через:	| дн.
Перезапуск службы через:	0	мин.
1 | Включить действия для остановок с ошибками.
Параметры: •• аг; узки .
Выполнение программы
Прогр&! 1м-з:
Параметры командной строки
Дописать в командную строку счетчик ошибок
Отмена
Пойдем*» । г
Рис. 2.13. Вкладка Восстановление
88
Глава 2. Мониторинг процессов, сервисов и событий
Отключение служб
Администратор должен убедиться, что серверы и сеть безопасны, а ненужные службы являются потенциальным источником проблем безопасности. Например, во многих организациях автор этой книги обнаруживал проблемы безопасности, находил запущенные и неиспользующиеся WWW-, FTP- и SMTP-серверы. Такие службы предоставляют анонимным пользователям доступ к серверам, а также открывают сервер для атаки, если он не был должным образом настроен.
Для отключения службы выполните следующие действия:
» В оснастке Управление компьютером щелкните правой кнопкой мыши по службе, которую нужно настроить, и выберите команду Свойства. На вкладке Общие из списка Тип запуска выберите команду Отключена.
» Отключение службы не означает ее остановку. Отключение только предотвращает запуск службы при следующей загрузке компьютера, поэтому риск для безопасности все еще есть. Чтобы завершить службу, нажмите кнопку Остановить на вкладке Общие окна Свойства, а затем нажмите кнопку ОК.
2.2. Просмотр и протоколирование событий
Журналы событий предоставляют историческую информацию, которая может помочь при отслеживании проблем с системой.
Служба Журнал событий Windows контролирует события Windows. После запуска этой службы можно будет отследить действия пользователей и использование ресурсов в журналах событий. Доступны два вида журналов:
•	Журналы Windows — сюда записываются системные события, относящиеся к приложениям, безопасности, установке и системным компонентам;
•	Журналы приложений и служб — сюда записываются сведения, относящиеся к приложениям и службам.
Справочник системного администратора
2.2.1.	Основные журналы
К журналам Windows относятся следующие журналы:
•	Приложение — здесь хранятся записи событий, относящиеся к приложениям, например, сбой SQL Server при доступе к базе данных. Размещение по умолчанию — %SystemRoot%\System32\Winevt\Logs\Application. evtx;
•	Перенаправленные события — когда настроено перенаправление событий, этот журнал содержит записи журналов, перенаправленные с других серверов. По умолчанию журнал находится в %SystemRoot%\ System32\Config\ForwardedEvents.evtx;
•	Безопасность — содержит записи, которые можно использовать для аудита локальных и глобальных групповых политик. Этот журнал — один из наиболее важных, его нужно просматривать очень тщательно. Если журнал безопасности не содержит событий, наиболее вероятная причина в том, что локальный аудит не был настроен должным образом либо настроен глобальный аудит домена — в этом случае необходимо просматривать журналы безопасности на контроллерах домена, а не на рядовых серверах. По умолчанию журнал называется %SystemRoot%\System32\ Winevt\ Logs\Security.evtx;
•	Установка — записи в этот журнал заносит сама операционная система или ее компоненты при инсталляции чего-либо. Название журнала по умолчанию — %SystemRoot%\System32\Winevt\Logs\Setup.evtx;
•	Система — в журнал записывают данные либо операционная система, либо ее компоненты, записи касаются системных событий вроде сбоя службы при ее запуске. Размещение по умолчанию — % Sy stem Root %\ System32\Winevt\Logs\System.evtx.
К журналам приложений и служб относятся следующие журналы:
•	Репликация DFS — регистрирует записи активности DFS-репликации (Distributed File System). Имя журнала по умолчанию — %SystemRoot%\ System32\Winevt\Logs\DfsReplication.evtx;
•	Служба каталогов — регистрирует записи AD DS (Active Directory Domain Services) и связанных служб. Журнал по умолчанию — %System-Root%\System32\Winevt\Logs\Directory Service.evtx;
Глава 2. Мониторинг процессов, сервисов и событии
•	DNS-сервер — регистрирует события DNS-сервера — запросы, ответы и другую активность DNS. Файл журнала по умолчанию—%SystemRoot%\ System32\Winevt\Logs\DNS Server.evtx;
•	Служба репликации файлов — регистрирует активность репликации файлов в системе. Журнал по умолчанию — %SystemRoot%\System32\ Winevt\Logs\File Replication Service.evtx;
•	События оборудования — когда подсистема событий оборудования настроена, в этом журнале будут события, относящиеся к оборудованию. Журнал по умолчанию — %SystemRoot%\System32\Config\Hardware. evtx;
•	Microsoft\Windows — предоставляет журналы событий, относящихся к Windows-службам и компонентам. Журналы организованы по типу компонента и категории события. Операционные журналы генерируются стандартными операциями связанного компонента. В некоторых случаях у вас появятся дополнительные журналы для анализа, отладки и записи задач, связанных с администрированием;
•	Windows PowerShell — записывает активность, связанную с использованием Windows PowerShell. Имя файла журнала по умолчанию — %SystemRoot%\System32\ Winevt\Logs\Windows PowerShell.evtx
2.2.2.	Доступ к событиям в Диспетчере серверов
Если при работе с Диспетчером серверов выбрать узел Локальный сервер, Все серверы или группу серверов, на панели справа появится панель СОБЫТИЯ (рис. 2.14), которая отобразит события выбранного сервера. Эту панель можно использовать так:
•	для локального сервера можно использовать панель СОБЫТИЯ в разделе Локальный сервер или Все серверы с целью просмотра последних предупреждений и ошибок в журналах приложений и системы;
•	для автоматически созданной группы серверов: узлы группируются по ролям сервера, таким как AD DS или DNS, и администратор может просмотреть последние события, относящиеся к роли сервера, если это возможно. Не у всех ролей есть ассоциированный журнал, но зато у некоторых ролей, например, у AD DS есть несколько ассоциированных журналов;
Справочник системного администратора
Рис. 2.14. Просмотр событий через Диспетчер серверов
•	для пользовательских групп серверов, созданных администраторами, используется панель СОБЫТИЯ для просмотра последних событий и ошибок в журналах приложений и системы.
Столбцы панели СОБЫТИЯ можно настроить так: щелкните правой кнопкой мыши цо заголовку таблицы, выберите столбцы, которые нужно добавить или удалить. Столбцы мотуг быть следующими:
•	Имя сервера — имя сервера, на котором запущена служба;
•	Полное доменное имя — полное доменное имя сервера, на котором запущена служба;
•	Код — числовой идентификатор определенного события, который может быть полезен при поиске описания событий в различных базах знаний;
•	Важность — уровень важности события, например, ошибка или предупреждение;
•	Источник — приложение, служба или компонент, который зарегистрировал событие;
•	Журнал — журнал, в котором было зарегистрировано событие;
•	Дата и время — дата и время записанного события.
92 ]
Глава 2. Мониторинг процессов, сервисов и событий
2.2.3.	Средство "Просмотр событий"
Получить доступ к журналам событий можно с помощью следующих действий:
1.	В Диспетчере серверов выберите группу Все серверы или любую группу серверов на панели слева.
2.	В панели СЕРВЕРЫ щелкните правой кнопкой мыши по серверу, к которому нужно подключиться.
3.	Выберите команду Управление компьютером для автоматического подключения к выбранному серверу.
4.	В оснастке Управлении компьютером можно просматривать и работать с журналами событий, развернув узел Служебные программы и выбрав элемент Просмотр событий, как показано на рис. 2.15.
Рис. 2.15. Просмотр событий
Как показано на рис. 2.15, записи на главной панели средства Просмотр событий предоставляет быстрый обзор того, когда, где и как произошло событие. Чтобы получить подробную информацию о событии, просмотрите подробности на вкладке Общие в нижней части главной панели. Там же вы-
К
Справочник системного администратора
водится уровень события, ключевое слово и дата и время события. Уровни события MOiyr быть:
1.	Информация — информационное событие, относится к успешному выполнению действия;
2.	Аудит успеха — событие, относящиеся к успешному выполнению действия;
3.	Аудит отказа — события, относящиеся к неудачному выполнению действия;
4.	Предупреждение — предупреждение. Описания предупреждений часто мотуг быть полезны для предотвращения будущих проблем;
5.	Ошибка — некритическая ошибка, например, ошибка передачи зоны на DNS-сервере;
6.	Критическое — критическая ошибка, например, завершение работы службы кластера из-за потери кворума.
В дополнение к уровню, дате и времени предоставляется общее описание события:
•	Источник — приложение, служба или компонент, который зарегистрировал событие;
•	Код — числовой идентификатор определенного события, который может быть полезен при поиске события в базах знаний;
•	Категория задачи — категория события, которая часто не заполняется, но иногда может быть использоваться для описания связанного действия;
•	Пользователь — учетная запись пользователя, которая была зарегистрирована в системе, когда произошло событие;
•	Компьютер — имя компьютера, на котором произошло событие;
•	Описание — текстовое описание события;
•	Данные — любые данные или код ошибки, переданные событием.
У администратора есть возможность фильтровать журналы событий. Фильтры представлений находятся в узле Настраиваемые представления. Если выбрать узел События управления, станет доступен список всех ошибок и предупреждений для всех журналов. Если развернуть узел Роли сервера и
Глава 2. Мониторинг процессов,сервисов и событии
выбрать представление, специфичное для роли, можно будет просмотреть все события для выбранной роли.
Для создания собственного представления используются следующие действия в оснастке Управление компьютером:
1.	На панели слева выберите узел Настраиваемые представления, затем нажмите Создать настраиваемое представление на панели справа. Откроется диалоговое окно, показанное на рис. 2.16.
Создание настраиваемого представления	X
|Фильтр: XML
Любое время
Уровень события: Q критическое О Предупреждение О Подробности
I	Q Ошибка □ Сведения
*•; Пс журналу	Журналы событий: J
О По источнику Источники событий:
Включение или исключение кодов событий- Введите коды событий или диапазоны кодов, разделяя их запятыми Для исключения условия введите знак минус Например: 1.3,5-99,-76
<Все коды событий>
Категория задачи:
Ключевые слова:
Пользователь:	пользователи»
Компьютеры;	<Все компьютеры»
Очистить
ОК Отмена
Рис. 2.16. Создание собственного фильтра
2.	Раскрывающийся список Дата используется, чтобы задать период времени для события. Можно выбрать события за последний час, последние 12 часов, последние 24 часа, последние 7 дней или последние 30 дней. Альтернативно можно указать свой диапазон.
3.	Флажки в группе Уровень события используются, чтобы указать, события какого уровня вас интересуют. Установите флажок Подробности для отображения дополнительных деталей события.
4. Можно создать настраиваемое представление, указав набор журналов или набор источников событий. Используйте раскрывающийся список
Справочник системного администратора
Журналы событий, чтобы выбрать необходимые журналы событий. Чтобы выбрать несколько журналов событий, отметьте их переключатели. Список Источники событий используется выбора источников событий. Чтобы выбрать несколько источников, отметьте их переключатели. Остальные источники будут исключены.
5.	Используйте поля Пользователь и Компьютеры для указания пользователей и компьютеров, связанных с событиями. Если не указать эти параметры, будут выбраны события, относящиеся ко всем пользователям и компьютерам.
6.	После нажатия кнопки OK Windows отобразит окно Сохранить фильтр в настраиваемое представление.
7.	Введите имя и описание настраиваемого представления.
8.	Выберите, где нужно сохранить настраиваемое представление. По умолчанию настраиваемые представления сохраняются в узле Настраиваемые представления.
9.	Нажмите кнопку ОК для закрытия окна Сохранить фильтр в настраиваемое представление. Теперь список событий будет отфильтрован. Просмотрите эти события и исправьте существующие проблемы.
Установка параметров журнала событий
Параметры журнала позволяют управлять размером журналов событий, а также способом обработки журналирования. По умолчанию максимальный размер журнала событий — максимальный размер файла. Когда журнал достигнет этого предела, события будут перезаписаны, чтобы предотвратить превышение максимального размера файла.
Щелкните на журнале, параметры которого вы хотите изменить, и выберите команду Свойства. Далее вы сможете изменить следующие параметры:
1. Введите или установите максимальный размер в килобайтах в поле Макс. Размер журнала (КБ). Убедитесь, что диск, содержащий операционную систему, имеет достаточно свободного места для хранения файла журнала указанного вами размера. По умолчанию файлы журналов хранятся в каталоге %SystemRoot%\System32\Winevt\Logs.
2. Выберите действие при достижении максимального размера. Доступны опции:
» Переписывать события при необходимости (сначала старые события) — при достижении максимального размера журнала события в
св.........................-...................................
Глава 2. Мониторинг процессов, сервисов и событий
журнале будут перезаписаны. Это лучший выбор для системы низкого приоритета;
» Архивировать журнал при заполнении; не перезаписывать события — когда будет достигнут максимальный размер файла, Windows заархивирует события путем сохранения текущего журнала в каталоге по умолчанию. Затем Windows создаст новый журнал для хранения текущих событий;
» Не переписывать события (очистить журнал вручную) — когда будет достигнут максимальный размер файла, система сгенерирует сообщения об ошибке в виду того, что журнал событий полон.
[Общие Подписки
Полное имя:
Путь журнала:
Размер журнала:
Создан:
Изменен:
Открыт:
Свойства журнала - Приложение (Тип: Административный}	X
Application
 %Sy$temRoot%\Syste m32\Wine vr\Logs\Apphcation.evtx
1.07 МБ (1 118 208 байт
13 октября 2019 г. 14:36-51
1 апреля 2020 г. 9:18.23
1 апреля 2020 г. 9:1823
Включить ведение журнала
Макс, размер журнала (КБ):	2О48С 3
При достижении максимального размера:
9. Переписывать события при необходимости (сначала старые события)
О Архивировать журнал при заполнении: не перезаписывать события
О Не переписывать события (очистить журнал вручную;
Очистить журнал
ОК	Отмена
Рис. 2.17. Параметры журнала событий
Сохранение и очистка журналов
Кнопка Очистить журналы позволяет очистить выбранный журнал. Перед очисткой журнала бывает полезно его сохранить. Для этого закройте окно
97
Справочник системного администратора
параметров журнала, если оно открыто, щелкните правой кнопкой мыши по журналу, выберите команду Очистить журнал. В появившемся окне нажмите кнопку Сохранить и очистить (рис. 2.18).
Просмотр событий	X
Вы можете сохранить содержимое этого журнала, прежде чем очистить его.
Сохранить и очис1йть Очис.ить Отме> а
Рис. 2.18. Сохранение журнала перед его очисткой
Журналы могут храниться в четырех форматах:
•	формат файлов событий (evtx), который можно просмотреть с помощью средства Просмотр событий;
•	текстовый формат с разделителем табуляции (txt), который можно просмотреть в текстовых редакторах и текстовых процессорах или импортировать в электронную таблицу или базу данных;
•	текст, разделенный запятой (csv), удобный для импорта в электронную таблицу или базу данных;
•	текст формата XML (xml) для сохранения в XML-файле.

^Сохранение
© Jepor..
УлоряДОчИТа '
Новая лапка
Дата и-меч<г-«л
”<гт мементое, удовлегесряющих условиям поиск*
Загрузки
Документы
Изображения #
Этот компьютер
fr быстрый доступ
I Рабочий стол
f « boranes > Документы
Действия
Создать иасг..
Импорт наст...
Очистить жу_
Сохранить э..
Обновить
Имя оайла
Справка
Тип файла: ©айлы событий с evtx;
ж Скрыть папки
S
Привязать з.-
Колировать
Компьютер.
WiN-uxXjBKrFja
Сохранить в..
Обновит»
Споаака
16384
Bi 98
©ильтртеяу-
Свойства
Код события
1001
В224
16384
16394
-Дп11-файл; <*жвВ
Text (с разделением табуляцией; (* txtj CSV (с разделением запятыми) (*«*?...
- ® Марырутизаиия
U Службы i sft Управляющий эл₽
Категория задачи Отсутствует Отсутствует Отсутствует Отсутствует Общие Общие Общие Общие Отсутствует Отсутствует
Подьзов.:	Н/Д
Кол операции:
Рис. 2.19. Выбор формата журнала перед его сохранением
Открыть СОХ..
Привязать з..




Глава 2. Мониторинг процессов, сервисов и событий
Соответственно, при сохранении журнала нужно выбрать один из этих форматов. Выбирайте тот, с которым вам будет проще работать в дальнейшем. Если вы не используете специальных средств для работы с журналами, тогда выбирайте CSV - его с легкостью можно будет открыть в любой электронной таблице, например, в MS Excel.
Глава 3.
Автоматизация административных задач
Справочник системного администратора
Выполнение ежедневных рутинных задач — не очень эффективное использование рабочего времени. Намного эффективнее автоматизировать эту работу и сфокусироваться на более важных проблемах — на поддержке служб, на повышении производительности, а в результате меньше времени будет потрачено на приземленные вопросы и больше на то, что действительно важно.
Для автоматизации множества административных задач вы можете использовать групповые политики (позволяют развернуть одни и те же параметры на множество компьютеров сети), планировщик заданий и множество других компонентов Windows Server. В этой главе будет показано, как выполнять множество административных задач посредством групповой политики.
3.1.	Групповая политика
3.1.1.	Основные сведения о групповой политике
Групповые политики упрощают администрирование, предоставляя администраторам централизованное управление привилегий, прав и возможностей, как пользователей, так и компьютеров. С помощью групповых политик можно сделать следующее:
' 102 ]
Глава 3. Автоматизация административных задач
•	контролировать доступ к Windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам Панели управления, рабочему столу и главному меню;
•	создать централизовано-управляемые каталоги для специальных папок, например, для пользовательской папки Документы;
•	определить сценарии пользователя и сценарии компьютера, которые будут запускаться в конкретное время;
•	настроить политики для блокировки учетных записей, параметры паролей, аудита, назначения прав пользователей и безопасности, но о них мы поговорим в следующей главе.
О политике можно думать как о ряде правил, которые помогают управлять пользователями и компьютерами. Групповые политики можно применить к нескольким доменам сразу, отдельным доменам, подгруппам в домене или отдельным системам. Политики, которые применяются к отдельным системам, называются локальными групповыми политиками и хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory.
Групповые политики применяются только к системам, работающим под управлением ОС Windows 2000 и более поздних версий Windows. Настройки групповой политики сохранены в объекте групповой политики (Group Policy Object, GPO). GPO - это контейнер для применяющихся политик и для их настроек. Несколько GPO можно применить к одному сайту, домену или организационной единице. Поскольку групповая политика описана с использованием объектов, применяется много объектно-ориентированных понятий. Если думать об объектно-ориентированном программировании, можно предположить, что понятия родительских/дочерних отношений и наследования применимы к GPO, и это действительно так.
Контейнер — высокоуровневый объект, содержащий другие объекты. Посредством наследования политика, которая применялась к родительскому контейнеру, наследуется дочерним контейнером. По существу это означает, что установка политики, применяемой к родительскому объекту, будет передана и дочернему объекту. Например, если применяете установку политики в домене, ее установка будет наследована организационными единицами в домене. В этом случае GPO домена — родительский объект, a GPO организационных единиц — дочерние объекты.
Порядок наследования — сайт, домен, организационная единица. Это означает, что настройки групповой политики для сайта будут переданы доменам
Справочник системного администратора
этого сайта, затем настройки домена будут переданы организационным единицам в этом домене.
Наследование можно переопределить. Для этого можно присвоить настройку политики дочернему контейнеру, которая отличается от настройки политики для родительского контейнера. Пока переопределение разрешено (т. е. пока оно не заблокировано), будет применяться установка политики дочернего контейнера.
3.1.2.	Порядок применения политики
Определен следующий порядок применения групповых политик:
1.	Локальные групповые политики.
2.	Групповые политики сайта.
3.	Групповые политики домена.
4.	Групповые политики организационной единицы.
5.	Групповые политики дочерней организационной единицы.
Если настройки политики конфликтуют, приоритет имеют настройки политики, которые применялись позже — они перезаписывают более ранние настройки. Например, политики организационной единицы имеют приоритет над другими групповыми политиками домена.
Существует два типа групповых политик - политики, применяемые к компьютерам и политики, применяемые к пользователям. Политики компьютера обычно применяются во время запуска системы, а политики пользователя — во время входа в систему.
По умолчанию групповая политика обновляется, когда пользователь выходит из системы, во время перезапуска компьютера и автоматически каждые 90—120 минут. Можно изменить это поведение, устанавливая интервал обновления групповой политики. Чтобы сделать это, откройте окно командной строки и введите команду gpupdate.
Некоторые настройки пользователя, например перенаправление папок, не могут быть обновлены, пока пользователь зарегистрирован в системе. Пользователь должен выйти из системы и затем зайти заново для применения этих настроек. Для автоматического выхода пользователя из систе
Глава 3. Автоматизация административных задач
мы после обновления можно ввести команду gpupdate /lofogg в командной строке или в поле поиска. Аналогично, некоторые настройки компьютера могут быть определены только при его запуске. Для применения этих настроек компьютер должен быть перезагружен. Для этого можно ввести в командной строке или в поле поиска команду gpupdate /boot.
3.1.3.	Редакторы групповой политики
Чтобы оптимизировать управление групповой политикой, Microsoft удалила функции управления из инструментов Active Directory и переместила их в основную консоль, названную Управление групповой политикой1. Для установки GPMC необходимо установить соответствующий компонент (Управление групповой политикой) с помощью мастера установки ролей и компонентов. После этого редактор групповой политики будет доступен через меню Средства диспетчера серверов.
Необходимо понимать, что для редактирования групповой политики существует почти два одинаковых редактора:
•	Редактор стартового объекта групповой политики (Group Policy Starter GPO Editor) — редактор, который можно использовать для создания и управления стартовыми объектами групповой политики. Как подразумевает имя, стартовый GPO призван обеспечить начальную точку для объектов политики, которые используются всюду по своей организации. При создании объекта политики можно определить стартовый GPO как источник или фундамент объекта.
•	Редактор локальной групповой политики (Local Group Policy Object Editor) — применяется для создания и управления объектами политики для локального компьютера. Как подразумевает имя, локальный GPO призван обеспечить настройки политики для определенного компьютера в противоположность настройкам для сайта, домена или организационной единицы.
3.1.4.	Управление локальной групповой политикой
Компьютеры под управлением современных версий Windows имеют три уровня локальных объектов групповой политики.
J	Group Policy Management Console (GPMC)
[ 105 ,
Справочник системного администратора
•	Локальная групповая политика (Local Group Policy). Это только локальный GPO, позволяющий конфигурациям компьютера и пользователя применяться ко всем пользователям компьютера.
•	Административная и неадминистративная локальная групповая политика (Administrators and Non-Administrators local Group Policy). Содержит только настройки конфигурации пользователя и применяется на основании того, является ли учетная запись членом локальной группы Администраторы.
•	Пользовательская локальная групповая политика (User-specific local Group Policy). Содержит только конфигурацию пользователя и применяется к отдельным пользователям и группам.
Эти уровни локальных GPO обрабатываются в следующем порядке: локальная групповая политика, административная и неадминистративная локальная групповая политика и пользовательская групповая политика.
Внимание! Поскольку доступные настройки пользовательской конфигурации одинаковы для всех локальных GPO, настройки в одном GPO могут конфликтовать с настройками в другом GPO. ОС Windows разрешает конфликты в настройках, перезаписывая любые предыдущие настройки настройками, считанными последними. Windows использует последнее установленное значение. Когда Windows разрешает конфликты, имеет значение только включенное/выключенное состояние настроек. Значение Не задано (Not Configured) не оказывает никакого эффекта на состояние настройки из предыдущего приложения политики. Чтобы упростить администрирование домена, можно отключить обработку локальных GPO на компьютерах под управлением Windows Vista и более поздних версий, включив политику Выключение обработки локальных объектов групповой политики в GPO домена. Эта настройка находится в узле Конфигурация компыотера\Ддминистра-тивные шаблоны\Система\Групповая политика групповой политики.
На всех компьютерах под управлением текущих выпусков Windows есть локальный GPO, доступный для редактирования. Хотя на контроллере домена тоже есть локальный GPO, его настройки редактировать не нужно.
[ 106 ]
Глава 3. Автоматизация административных задач
Самый быстрый способ получить доступ к локальному GPO компьютера — это ввести следующую команду в командной строке или поле поиска приложений:
gpedit.msc
Для получения доступа к локальному GPO верхнего уровня удаленного компьютера введите следующую команду в командной строке:
gpedit.msc /gpcomputer: «RemoteComputer»
Здесь RemoteComputer — имя или полное имя (FQDN) удаленного компьютера. Снова, необходимо использовать двойные кавычки, как показано в следующем примере:
gpedit.msc /gpcomputer: "win-jkfb!291"
Редактор пока тьмой групповой политики
файл Действие £ид Справка
Система
> ; App-V
Device Guard
>	i iSCSI
Kerberos
Аудит создания процессов Восстановление
Восстановление системы Вход в систему
>	Групповая политика
>	Г Диагностика
Дисковые квоты Диспетчер сервера Дисплей
Доступ к съемным заломим Доступ к устройствам Enhan Завершение работы Защита DMA ядра Защита файлов Windows Инфраструктура классифике
Вход в систему
Разрешает пользователям выбирать, необходим ли ввод пароля при возобновлении работы кэ режима ожидания с подключением
Изменить
' политики
Требования:
Не ниже Windows Server
' 2012., Windows 8 или Windows RT
Описание:
Этот параметр политики позволяет управлять возможностью
i изменения
Состояние	Cscarrw ‘Сгмменхгр.ч*
к Включить вход с помощью удобного ПИН-ко„	Не задана	Нет
’ Выключить вход с графическим паролем	Не задана	Нет
,г Назначить стандартного поставщика учетиы-	Не задана	Нет
Jt Установка домена по умолчанию для входа	Не задана	Нет
т Исключить поставщики учетных данных	Не задана	Нет
1 Запретить пользователю отображать данны„	Не задана	Нет
j- Не обрабатывать список запуска старых про™	Не задана	Нет
Л Не обрабатывать список однокоатного запу...	Не задана	Нет
т Отключить уведомления приложений на экр._	Не задана	Нет
Л Отключить звук запуска Windows	Не задана	Нет
£. не отображать пользовательский интерфейс™	Не задана	Нет
Х-, Не перечислять подключенных пользовател ,	Не задана	Нет
£ Показать анимвцию при первом входе в сис...	Не задана	Нет
Л= Перечислить локальных пользователей на к...	Не задана	Нет
X Скрыть точки входа для быстрого переключе-	Не задана	Нет
21 параметров
Параметры завершения pal i пользователем	; Всегда использовать классический вход в си.. Не задана
Параметры уменьшения ри * : промежутка времени до <	_ _____ ___________________________
>	Расширенный / Стандартный /
Рис. 3.1. Редактор локальной групповой политики
По умолчанию единственный локальный объект политики, существующий на компьютере, является локальным объектом групповой политики. Можно создать и управлять другими объекты при необходимости (за исключением объектов на контроллерах доменов). Можно создать или получить доступ к административному объекту локальной групповой политики,
Справочник системного администратора
к неадминистративному объекту локальной групповой политики и объекту пользовательской локальной групповой политики так:
1.	В командной строке или окне Выполнить (Win + R) введите mmc и нажмите клавишу <Enter>. В консоли управления Microsoft выберите команду меню Файл, Добавить или удалить оснастку.
2.	В диалоговом окне Добавление или удаление оснасток выберите оснастку Редактор объектов групповой политики и нажмите кнопку Добавить.
3.	В окне Выбор объекта групповой политики нажмите кнопку Обзор. В окне Поиск объекта групповой политики перейдите на вкладку Пользователи.
4.	На вкладке Пользователи в колонке Объект групповой политики существует приводятся сведения о том, существует ли объект групповой политики для того или иного пользователя. Выполните следующие действия.
» Выберите запись Администраторы для создания или получения доступа к объекту административной локальной групповой политики.
» Выберите запись Не администраторы для создания или получения доступа к объекту административной локальной групповой политики.
» Выберите локального пользователя для создания или получения доступа к пользовательскому локальному GPO.
5.	Нажмите кнопку ОК. Если выбранный объект не существует, он будет создан. В противном случае будет открыт существующий объект для просмотра и редактирования.
3.1.5. Управление политиками сайта, домена или ОЕ
При разворачивании сервисов Active Directory (AD DS) можно использовать групповую политику на базе Active Directory. Каждый сайт, домен и организационная единица могут иметь одну или больше групповых политик. У групповых политик, перечисленных выше в списке групповой политики, более высокий приоритет, чем у политик, перечисленных ниже в списке. Это позволяет удостовериться, что политики применены всюду по связанным сайтам, доменам и организационным единицам. Посредством групповых политик и Active Directory достигается та самая автоматизация
l 108 J
Глава 3. Автоматизация административных задач
настройки всех компьютеров предприятия. Например, вам нужно сделать какие-то настройки (все, что угодно, например, запретить запуск определенной службы, запретить доступ к сменным дискам и т.д.) на всех компьютерах сети. Вместо того, чтобы настраивать каждый компьютер отдельно, вы можете использовать для этого Active Directory и групповую политику. Конечно, нужно, чтобы в сети был развернут AD, а настраиваемые компьютеры должны быть членами домена.
У каждого домена в организации по умолчанию есть два GPO.
•	GPO политики контроллера домена по умолчанию (Default Domain Controllers Policy GPO) создается и связывается для организационной единицы контроллера домена. Этот GPO применим ко всем контроллерам домена в домене (до тех пор, пока они не будут перемещены из этой организационной единицы). Используйте его для управления параметрами безопасности для контроллеров доменов в этом домене.
•	GPO политики домена по умолчанию (Default Domain Policy GPO) создается и связывается для всего домена в пределах Active Directory. Используйте этот GPO для установки базовых значений для широкого круга настроек политик, которые применяются ко всем пользователям и компьютерам в домене.
Как правило, GPO политики домена по умолчанию — GPO высшего приоритета, связанный с уровнем домена. GPO политики контроллеров домена по умолчанию — GPO высшего приоритета, связанный с контейнером контроллеров домена. Можно присоединить дополнительные GPO уровня домена и контроллеров домена. При этом настройки в GPO наивысшего приоритета переопределяют настройки в объектах групповой политики более низкого приоритета. Эти GPO не предназначены для общего управления групповой политикой.
GPO политики домена по умолчанию используется только для управления настройками дефолтовых политик учетных записей, и, в частности, есть три области применения политик учетных записей: политика паролей, политика блокировки учетной записи и политика Kerberos. Через этот GPO можно управлять несколькими параметрами безопасности:
•	Учетные записи: Переименование учетной записи администратора;
•	Учетные записи: Состояние учетной записи 'Администратор';
•	Учетные записи: Состояние учетной записи 'Гость';
•	Учетные записи: Переименование учетной записи гостя;
109 л
Справочник системного администратора
•	Сетевая безопасность: Принудительный вывод из сеанса по истечению допустимых часов;
•	Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля.
Один из способов перезаписи этих настроек — создать GPO с соответствующими настройками и присоединить его к контроллеру домена с более высоким приоритетом.
Объект GPO политики контроллера домена по умолчанию содержит параметры Назначение прав пользователя (User Rights Assignment) и Параметры безопасности (Security Options), которые ограничивают способы использования контроллеров домена. Один из способов перезаписи этих настроек — создать GPO с перезаписывающимися настройками и присоединить его к контейнеру контроллеров домена с более высоким приоритетом.
Для управления другими областями политики нужно создать GPO и присоединить его к домену или соответствующей организационной единице в пределах домена.
Запустить консоль управления групповой политикой (GPMC) можно из меню Средства Диспетчера серверов. Также можно в командной строке или в поле поиска приложений ввести gpmc.msc и нажать клавишу <Enter>.
Как показано на рис. 3.2, корневой узел консоли называется Управление групповой политикой, а ниже есть узел Лес. Узел Лес представляет лес, к которому консоль подключена в настоящий момент, и называется именем корневого домена этого леса (на рис. 3.2 — Лес: example.com). Если существуют соответствующие учетные данные, можно добавить соединения с другими лесами. Для этого щелкните правой кнопкой мыши по узлу Управление групповой политикой и выберите команду Добавить лес. В диалоговом окне Добавление леса введите имя корневого домена леса в поле Домен и нажмите кнопку ОК.
В узле Лес находятся следующие узлы.
•	Домены — предоставляет доступ к параметрам политики для доменов в соответствующем лесе. По умолчанию консоль подключена к домену входа в систему. Если есть другие учетные данные, можете добавить соединения с другими доменами в связанном лесу. Для этого щелкните правой кнопкой мыши по узлу Домены и выберите команду Показать домены. В окне Отображение доменов выберите домены, которые нужно добавить, и нажмите кнопку ОК.
Глава 3. Автоматизация административных задач
а Управление групповой политикой
М Файл Действие Вид Окно Справка
С Управление групповой политикой
~ .А Лес example.com
* .ib Домены
f| example com
4Г Default Domain Policy
X Domain Controllers
- а Объекты групповой полит Default Domain Control!» Default Domain 1Ыку
» Фильтры WMI
Начальные объекты групг
йСайты
£ Моделирование групповой ло/1 "3 Результаты групповой политик
Default Domain Policy
Область Сведения Параметры Делегирование Состояние
Показать связи в располож-мыи	example com
Рвзмеще»4*< f| example com
Связь эшийстаована
Путь example com
Фильтры безопасное тм
Перагмтры донного объекте групповое политики прютеняаотея только для следующих групп гыьзбва то лей и компьютеров.
%Прс-юдамо* проверку
ЛОЛавить
Фитыр WM
Объект GPO связан со следующим фильтром WMI
Рис. 3.2. Управление групповой политикой сайта, леса, домена
•	Сайты — предоставляет доступ к настройкам политики для сайтов в соответствующем лесе. Сайты скрыты по умолчанию. Если есть соответствующие учетные данные, можно подключиться к сайтам. Для этого щелкните правой кнопкой мыши на узле Сайты и выберите команду Показать сайты. В окне Отображение сайтов выберите сайты, которые нужно добавить, и нажмите кнопку ОК.
•	Моделирование групповой политики — предоставляет доступ к мастеру моделирования групповой политики, который поможет спланировать развертывание групповой политики и симулировать настройки с целью тестирования. Также доступны любые сохраненные модели.
•	Результаты групповой политики — предоставляет доступ к мастеру результатов групповой политики. Для каждого домена, к которому подключена консоль, все связанные объекты групповой политики и организационные единицы доступны для работы в одном месте.
Объекты GPO, перечисленные в контейнерах Домены, Сайты в GPMC, являются ссылками на GPO, а не самими GPO. Доступ к фактическому GPO можно получить через контейнер Объекты групповой политики выбранного домена. Обратите внимание на то, что у значков ссылок на GPO есть небольшие стрелки в левом нижнем углу, подобно ярлыку, а на значках самих GPO таких стрелок нет.

Справочник системного администратора
При запуске консоль GPMC подключиться к Active Directory, запущенному на контроллере домена, который работает как PDC-эмулятор для домена входа и получает список всех объектов групповой политики и организационных единиц в этом домене. Это возможно благодаря протоколам LDAP (Lightweight Directory Access Protocol) для доступа к хранилищу каталогов и SMB (Server Message Block) для доступа к каталогу SYSVOL. Если PDC-эмулятор недоступен по какой-то причине, например, когда сервер находится в режиме оффлайн, GPMC отобразит подсказку, чтобы можно было работать с настройками политик на любом другом доступном контроллере домена. Для смены контроллера домена щелкните правой кнопкой мыши на узле домена, для которого нужно сменить активный контроллер домена, затем выберите команду Сменить контроллер домена. В окне Смена контроллера домена текущий контроллер домена приведен в области Текущий контроллер домеиа. Используйте область Изменить на, выберите другой контроллер домена и нажмите кнопку ОК.
С помощью консоли GPMC можно отредактировать GPO, щелкнув на нем правой кнопкой мыши и выбрав команду Изменить. После этого откроется редактор GPO (рис. 3.3). У него есть два основных узла:
•	Конфигурация компьютера — разрешает использовать политики, которые будут применены к компьютерам, вне зависимости от того, какой пользователь вошел в систему;
•	Конфигурация пользователя — позволяет установить политики, которые будут применены к пользователям, вне зависимости от того, на каких компьютерах они входят в домен
В узлах Конфигурация компьютера и Конфигурация пользователя находятся узлы Политики и Настройки. Настройки общих политик находятся в узле Политики. Параметры общих настроек — в узле Настройки.
Точная конфигурация узлов Конфигурация компьютера и Конфигурация пользователя зависит от установленных расширений и типа созданной политики. В узлах Конфигурация компьютера и Конфигурация пользователя есть следующие подузлы:
•	Конфигурация программ — политики для настроек программного обеспечения. При установке программного обеспечения в узле Конфигурация программ появятся новые подузлы;
•	Конфигурация Windows — набор политик для перенаправления папок, сценариев и безопасности;
•	Административные шаблоны — набор политик для операционной системы, компонентов Windows и программ. Административные шаблоны на-
Глава 3. Автоматизация административных задач
Редактор управления групповыми политиками
□ X
файл Действие Дид Справка
♦ За В Г"
Политика Default Dorna v *» Конфигурация round > Политики
Имя
Й> Конфигурация компьютера
А Конфигурация пользователя
> Ш Настройка
* гЗ Конфигурация польз Политики
> U s Настройка
Расширенный Д Стандартный '
Рис. 3.3. Редактор управления групповыми политиками
страиваются с помощью файлов шаблонов. При необходимости можно добавить или удалить файлы шаблонов.
3.1.6. Административные шаблоны
Административные шаблоны предоставляют легкий доступ к настройкам реестра, которые можно изменить. Набор административных шаблонов по умолчанию настроен в редакторе политик для пользователей и компьютеров. При необходимости можно добавить/удалить административные шаблоны. Любые изменения, вносимые в политики, доступны через административные шаблоны, сохранены в реестре. Конфигурации компьютера хранятся в разделе HKEYLOCALMACHINE, а конфигурации пользователя - в разделе HKEY_CURRENT_USER.
Просмотреть настроенные в данный момент шаблоны можно в узле Административные шаблоны редактора политик. Этот узел содержит политики, которые можно сконфигурировать для локальных систем, организационных единиц, доменов и сайтов. В конфигурации пользователя и конфигурации компьютера находятся разные наборы групповой политики. При установке новых компонентов Windows можно добавить шаблоны с новыми политиками.
Справочник системного администратора
Административные шаблоны могут использоваться для управления следующими настройками:
•	Панель управления — содержит настройки Панели управления и ее утилит;
•	Рабочий стол — настраивает рабочий стол Windows и доступные опции рабочего стола;
•	Сеть — настраивает сеть и параметры сетевых клиентов для оффлайн-файлов, DNS-клиентов и сетевых соединений;
•	Принтеры — настраивает параметры принтера, просмотра сети, спула и каталога;
•	Общие папки — разрешает публикацию общих файлов и распределенной файловой системы (DFS);
•	Меню «Пуск* и панель задач — контролирует доступные опции и конфигурацию экрана Пуск и панели задач;
•	Система — настраивает параметры системы для дисковых квот, профилей пользователей, входа пользователя, восстановления системы, отчетов об ошибках и т. д.;
•	Компоненты Windows — определяет доступные опции и конфигурацию различных Windows-компонентов, в том числе средства Просмотр событий, Internet Explorer, установщик Windows и обновления Windows.
Желаете узнать, какие административные шаблонные политики доступны? Просмотрите подузлы узла Административные шаблоны. Политики могут находиться в одном из трех состояний:
1.	Не задано — политика не используется, и в реестр не записываются никакие значения;
2.	Включено — политика применена, ее значение сохранено в реестре;
3.	Выключено — политика выключена и не применяется, соответствующая настройка записана в реестре.
Для включения, выключения и настройки политики используются следующие действия:
1.	В редакторе политик разверните узел Конфигурация пользователях Административные шаблоны или Конфигурации компьютера\Адми-

Глава 3. Автоматизация административных задач
нистратиные шаблоны, в зависимости от типа политики, которую планируется использовать.
2.	На панели слева выберите подпапку, содержащую политики, с которыми нужно работать. Соответствующие политики будут отображены на правой панели.
3.	Дважды щелкните по политике, чтобы открыть окно Свойства. Описание политики можно прочитать на панели Справка. Описание доступно, только если оно определено в соответствующем файле шаблона.
4.	Чтобы установить состояние политики, выберите одну из опций:
»	Не задано — политика не сконфигурирована;
»	Включено — политика включена;
»	Выключено — политика отключена.
5.	Если политика включена, установите дополнительные параметры и нажмите кнопку ОК.
3.1.7.	Создание и связь объекта групповой политики
При работе с объектом политики создание и связь объекта со специфическим контейнером в пределах Active Directory — разные действия. Можно создать GPO и не соединять его ни с каким доменом, сайтом или организационной единицей. Затем, можно создать GPO и подсоединить его к определенному домену, сайту или организационной единице.
Также можно создать GPO и соединить его автоматически с доменом, сайтом или организационной единицей. Выбранный метод зависит, прежде всего, от личных предпочтений и от того, как планируется работа с GPO. Имейте в виду, что при создании GPO и его соединении с доменом, сайтом, организационной единицей, GPO будет применен к объектам «пользователь» и «компьютер» в этом сайтом, домене или организационной единице, согласно параметрам Active Directory, порядку приоритета GPO и другим параметрам.
Для создания и подсоединения GPO к сайту, домену и организационной единице выполните следующие действия:
1.	В консоли GPMC щелкните правой кнопкой мыши на сайте, домене или организационной единице, к которым нужно привязать GPO, а затем
[ 115 }
Справочник системного администратора
выберите команду Создать объект групповой политики для этого домена и связать его.
2.	В окне Новый объект групповой политики введите описывающее имя GPO, например, GPO безопасной рабочей станции. Если нужно использовать исходный GPO в качестве источника для начальных настроек, выберите исходный GPO из списка Исходный объект групповой политики. После нажатия кнопки ОК новый GPO будет добавлен в контейнер Объекты групповой политики и будет связан с ранее выбранным сайтом, доменом или организационной единицей.
3.	Щелкните правой кнопкой мыши (или нажмите) на новом GPO и выберите команду Изменить. В редакторе политики настройки задайте необходимые настройки и закройте редактор политики. Когда групповая политика обновится, будут применены настройки из GPO для сайта, домена или организационной единицы.
3.1.8.	Удаление ссылок и удаление GPO
В консоли GPMC можно остановить использование связанных объектов групповой политики двумя способами:
•	удалить ссылку на GPO, но не удалять сам GPO;
•	удалить GPO и все ссылки на него.
Удаление ссылки на GPO предотвращает использование соответствующих настроек политик в сайте, домене или организационной единице, но не удаляет сам GPO. Однако GPO остается соединенным с другими веб-сайтами, доменами или организационными единицами. В GPMC можно удалить ссылку на GPO, щелкнув правой кнопкой мыши по ссылке на GPO в контейнере и выбрав команду Удалить. Когда консоль попросит подтвердить намерение, нажмите кнопку ОК. Если удалить все ссылки на GPO с сайтов, доменов и организационных единиц, GPO продолжит существование в контейнере Объекты групповой политики, но его настройки не будут иметь никакого эффекта в организации.
Удаление GPO удаляет GPO и все ссылки на него. Больше GPO не будет существовать в контейнере Объекты групповой политики и не будет связан ни с одним сайтом, доменом или организационной единицей. Есть только один способ восстановить удаленный GPO — это восстановить его из ра-
.............................................................
Глава 3. Автоматизация административных задач
нее созданной резервной копии (если она доступна). Удалить GPO и все ссылки на этот объект можно в консоли GPMC из узла Объекты групповой политики. Щелкните правой кнопкой мыши на GPO и выберите команду Удалить. Для подтверждения своего намерения нажмите кнопку Да.
3.1.9.	Обновление групповой политики
При внесении изменения в политику эти изменения применяются немедленно. Однако они не распространяются автоматически. Клиентские компьютеры запрашивают политики в следующих случаях: .
•	при запуске компьютера;
•	при входе пользователя;
•	когда приложение или пользователь запрашивает обновления;
•	когда истекает интервал обновления групповой политики, установленный для нее.
Настройки конфигурации компьютера применяются во время запуска операционной системы. Настройки конфигурации пользователя — при входе пользователя в систему. Если произошел конфликт между настройками пользователя и компьютера, у конфигурации компьютера более высокий приоритет, и именно ее настройки будут применены.
Как только настройки политики будут применены, настройки будут обновлены автоматически, чтобы можно было гарантировать, что они являются текущими. По умолчанию интервал обновления для контроллеров домена — 5 минут. Для других компьютеров интервал обновления — 90 минут с 30-минутными вариациями, чтобы избежать перегрузки контроллера домена многочисленными параллельными запросами клиентов. Это означает, что актуальный временной промежуток обновления для компьютеров, не являющихся контроллерами домена, составляет 90—120 минут.
Во время обновления групповой политики клиентский компьютер обращается к доступному контроллеру домена в его локальном сайте. Если есть изменения в одном или более объекте политики в домене, контроллер домена предоставляет список объектов политики, которые применяются к компьютеру и к пользователям, которые в данный момент вошли в систему. Контроллер домена делает это независимо от того, изменились ли номера версий на всех перечисленных объектах политики. По умолчанию компью-
Справочник системного администратора
тер обрабатывает объекты политики, только если изменился номер версии хотя бы одного из объектов политики. Если какая-то из связанных политик изменилась, все политики должны быть обработаны снова из-за наследования и взаимозависимостей между политиками.
Настройки безопасности — известное исключение к правилу обработки. По умолчанию эти настройки обновляются каждые 16 часов (960 минут) независимо от того, содержат ли объекты политики изменения. Чтобы уменьшить влияние на контроллеры домена и сеть, во время обновлений добавляется случайное смещение до 30 минут (эффективное окно обновления 960—990 минут). Кроме того, если клиентский компьютер обнаруживает, что подключается по медленному сетевому соединению, он сообщает об этом контроллеру домена, и по сети передаются только настройки безопасности и административные шаблоны. Это означает, когда компьютер работает по медленному соединению, будут применены лишь настройки безопасности и административные шаблоны. Можно настроить способ обнаружения медленного соединения.
Необходимо тщательно сбалансировать частоту обновления политики с учетом частоты ее изменения. Если политика изменяется редко, можно увеличить окно обновления, чтобы уменьшить использование ресурсов. Например, можно установить интервал обновления 20 минут на контроллерах домена и 180 минут на других компьютерах.
Интервал обновления групповой политики для каждого объекта политики можно настроить индивидуально. Для установки интервала обновления для контроллеров домена выполните следующие действия:
1.	В консоли GPMC щелкните правой кнопкой мыши на объекте групповой политики, который нужно изменить, и выберите команду Изменить. Этот GPO должен быть связан с контейнером, который содержит объекты компьютеров контроллера домена.
2.	В узле Конфигурация компыотера\Политики\Административные ша-блоны\Система\Групповая политика дважды щелкните на политике Установить интервал обновления групповой политики для контроллеров домена. Аналогичная политика для компьютеров называется Установить интервал обновления групповой политики для компьютеров. В результате будет отображено окно Свойства.
3.	Включите политику, выбрав переключатель Включено. Установите базовый интервал обновлений в первом поле Мин. Обычно интервал обновления устанавливают от 5 до 59 минут.

Глава 3. Автоматизация административных зада
4.	Во втором поле Мин (пролистайте область, чтобы увидеть его) установите случайную величину времени, которая будет добавлена к интервалу обновления. Эта случайная величина создает окно обновления, что препятствует перегрузке сервера при многочисленных параллельных запросах групповой политики клиентами. Нажмите кнопку ОК.
Рис. 3.4. Установка интервала обновления групповой политики для контроллеров домена
Внимание! В GPO для контроллеров домена вам нужно изменять политику Установка интервала обновления групповой политики для контроллеров домена. Групповую политику Установить интервал обновления групповой политики для компьютеров вам нужно изменять в GPO для домена/ компьютеров! Если вы измените политику для компьютеров в GPO для контроллеров домена, она не будет применена к компьютерам!
Инициировать обновление можно несколькими способами. Можно ввести команду gpupdate в командной строке или в поле поиска приложений, в результате будут обновлены и конфигурация компьютера, и конфигурация пользователя на локальном компьютере. Будут обработаны и применены только измененные настройки политики. Для обновления всех настроек политики нужно использовать параметр /Force.
119
Справочник системного администратора
Также можно обновлять конфигурации пользователя и компьютера раздельно. Для обновления только конфигурации компьютера введите gpupdate / target:computer в командной строке. Для обновления только конфигурации пользователя предназначена другая команда — gpupdate /target:user.
Также можно использовать команду gpupdate для выхода пользователя или перезапуска компьютера после обновления групповой политики. Это полезно, поскольку некоторые политики могут быть применены лишь, когда пользователь входит в систему или только при запуске компьютера. Для выхода пользователя после обновления добавьте параметр /Logoff, а для перезапуска компьютера после обновления — параметр /Boot.
3.1.10. Если политика не применяется. Мастер результатов групповой политики
При попытке определить, почему политика не применяется, как ожидалось, первым делом нужно исследовать результаты групповой политики для пользователя и компьютера, чтобы понять суть проблемы. Определить, что политики GPO применены, можно так:
1.	В консоли GPMC щелкните правой кнопкой мыши по узлу Результаты групповой политики и выберите команду Мастер результатов групповой политики. Когда мастер запустится, нажмите кнопку Далее.
2.	На странице Выбор компьютера установите переключатель Этот компьютер, чтобы просмотреть информацию для локального компьютера. Чтобы просмотреть информацию для удаленного компьютера, отметьте переключатель Другой компьютер и затем нажмите кнопку Обзор. В окне Выбор: -«Компьютер» введите имя компьютера и нажмите кнопку Проверить имена. После того как выберете правильное имя компьютера, нажмите кнопку Далее.
3.	На странице Выбор пользователя выберите пользователя, чью информацию о политике нужно просмотреть. Можно просмотреть информацию о политике для любого пользователя, который ранее был зарегистрирован на компьютере. Нажмите кнопку Далее.
4.	Просмотрите установленные параметры и нажмите кнопку Далее. После того как мастер получит необходимую информацию, нажмите кнопку Готово. По окончанию создания отчета он будет выбран в левой панели, а результаты будут отображены в правой панели.
Глава 3. Автоматизация административных задач
5.	Чтобы определить, какие параметры были применены, просмотрите отчет. Информация политики для компьютера и пользователя выводится отдельно: для компьютера — в разделе Сводка о компьютере, для пользователя — в разделе Сводка о пользователе.
3.2.	Управление пользователями и компьютерами посредством групповой политики
Групповую политику можно использовать для централизованного управления пользователями и компьютерами, например, вы можете управлять сценариями, запускаемыми при запуске/завершении работы компьютера, при входе/выходе пользователя, также вы можете использовать групповую политику для развертывания программного обеспечения на всю сеть.
3.2.1.	Управление сценариями пользователя и компьютера
В Windows Server можно настроить четыре типа сценариев:
•	Computer Startup — выполняется при запуске;
•	Computer Shutdown — выполняется при завершении работы;
•	User Logon — выполняется, когда пользователь входит в систему;
•	User Logoff — выполняется, когда пользователь выходит из системы.
Windows 2000 и более поздние версии поддерживают сценарии, написанные на языке командной оболочки, с расширением bat и cmd или сценарии, которые используют Windows Script Host (WSH). WSH — это компонент Windows Server, позволяющий использовать сценарии, написанные на языке сценариев вроде VBScript без необходимости вставки сценария в веб-страницу. Для предоставления доступа к многоцелевой среде WSH основывается на движках сценариев. Движок сценариев — это компонент, определяющий основной синтаксис и структуру определенного языка сценариев. Windows Server поддерживает движки сценариев для VBScript и JScript. Также доступны другие движки.
Справочник системного администратора
Операционные системы Windows 7/8/10, Windows Server 2012/2016/2019 также поддерживают сценарии PowerShell. Если Windows PowerShell установлен на компьютеры, которые обрабатывают определенные GPO, можно использовать сценарии Windows PowerShell так же, как и остальные сценарии. Есть возможность запуска сценариев Windows PowerShell до или после других типов сценариев.
Сценарии Computer Startup и Computer Shutdown назначаются как часть GPO. Таким образом, все компьютеры, которые являются членами сайта, домена и организационной единицы или всех трех структур одновременно, выполняют сценарии автоматически, когда загружаются или завершают работу.
Чтобы назначить сценарий запуска или завершения работы, выполните следующие действия:
1.	В Проводнике Windows откройте папку, содержащую сценарии, которые нужно использовать.
2.	В консоли GPMC щелкните правой кнопкой мыши по GPO сайта, домена или организационной единицы, с которыми будете работать. Выберите команду Изменить, чтобы открыть редактор GPO.
3.	В узле Конфигурация компьютера дважды щелкните на папке Конфигурация Windows, затем перейдите в подпапку Сценарии (запуск/за-вершение).
4.	Для работы со сценариями запуска щелкните правой кнопкой мыши на элементе Автозагрузка и выберите команду Свойства. Для работы со сценариями завершения работы щелкните правой кнопкой на элементе Завершение работы и выберите команду Свойства. Откроется окно, подобное изображенному на рис. 3.5.
5.	На вкладке Сценарии можно управлять сценариями командной строки (с расширениями bat или cmd) и сценариями Windows Scripting Host. На вкладке Сценарии PowerShell можно управлять сценариями Windows PowerShell. Для перехода к папке, в которой находятся сценарии, нажмите кнопку Показать файлы.
6.	Скопируйте файлы в окне Проводника Windows и вставьте их в окно, которое будет открыто после нажатия кнопки Показать файлы.
7.	Нажмите кнопку Добавить для назначения сценария. Откроется окно Добавление сценария. В поле Имя сценария введите имя сценария, который был скопирован в папку Machine\Scripts\Startup или папку Machine\Scripts\Shutdown. В поле Параметры сценария введите лю-
Глава 3. Автоматизация административных задач
Рис. 3.5. Назначение сценериев компьютера
бые параметры, которые нужно передать сценарию. Повторите этот шаг для других сценариев.
8.	Во время запуска и завершения работы сценарии будут выполнены в том порядке, в котором они указаны в окне Свойства. Для изменения порядка используйте кнопки Вверх и Вниз. На вкладке Сценарии PowerShell есть также список, позволяющий выбрать, когда должны запускаться сценарии Windows PowerShell: до или после запуска других типов сценариев.
9.	Если нужно отредактировать имя сценария или его параметры, выберите сценарий и нажмите кнопку Изменить. Для удаления сценария выберите его и нажмите кнопку Удалить.
10.	Для сохранения изменений нажмите кнопку ОК.
Сценарии пользователя можно назначить с помощью одного из трех способов.
1.	С помощью групповой политики. В этом случае все пользователи, являющиеся членами сайта, домена или организационной единицы (или всех трех сразу) автоматически запустят сценарии при входе или выходе.
2.	Можно назначить сценарии входа индивидуально, используя консоль Active Directory - пользователи и компьютеры. В этом случае можно
U23J
Справочник системного администратора
назначить каждому пользователю или каждой группе отдельный сценарий входа.
3.	Посредством планировщика заданий. Для создания расписаний задач используется мастер создания задачи.
Чтобы назначить сценарии входа или выхода в GPO, выполните следующие действия:
1. В Проводнике Windows откройте папку, содержащую сценарии, которые нужно использовать.
2. В консоли GPMC щелкните правой кнопкой мыши по GPO сайта, домена или организационной единицы, с которыми планируете работать. Выберите команду Изменить, чтобы открыть редактор GPO.
- 3. В узле Конфшурация пользователя дважды щелкните на папке Конфигурация Windows, затем перейдите в узел Сценарии (вход/выход из системы).
4.	Для работы со сценариями входа щелкните правой кнопкой мыши на папке Вход в систему и выберите команду Свойства. Для работы со сценариями выхода щелкните правой кнопкой мыши на папке Сценарии выхода и выберите команду Свойства. Откроется окно, подобное изображенному на рис. 3.6.
Сценарии; "Вкад! РоЬс>'
Файл Демтые Вид Справка
I Локд ' Политика -Default Domain Controllers Policy !W1!4-LGOG3K^ Имя
Конфигурация компьютера
Свойства: Вход в систетлу
Имя
, Расы рентЛ к Стандартный,
ЧР ADDS
События
И Вход с систему
Выход из системы
.. Настрой®
< Конфигурация пользователя
Конфигурация программ
v <онф гуоация Windows
й(енариа {якадЛиюйд изсиС.емъ
5 Параметры безопасности
' 2J Г|ереваправление папки
& QoS На основе политихи
а* Развернутые иримтеоы Ааминистративные шаблоны ... Настройка
(£) Управляем
События I
1« Все с ADD
St DNS
I® И5 «i Файт
Рис. 3.6. Назначение сценариев пользователя
Сценарии Сценарии PnweFShe-
Добавить

Для тнхлчетра файлов сценариев, записанных в этом Объекте групповой политики, нажните эту кнопку.

124
Глава 3. Автоматизация административных зада1
5.	Далее процесс назначения сценариев аналогичен назначению сценариев для компьютера.
3.2.2.	Развертывания программного обеспечения через групповую политику
Основы развертывания ПО
В групповой политике можно развертывать ПО на основе компьютеров и на основе пользователей. Приложения на базе компьютеров доступны всем пользователям компьютера и настраиваются в узле Конфигурация ком-пьютера\Конфигурация программ\Установка программ.
Можно развернуть программы тремя основными способами.
•	Назначение компьютеру — назначает программное обеспечение на компьютеры клиента, чтобы установка ПО происходила при запуске компьютера. Эта техника не требует какого-либо вмешательства со стороны пользователя, но она нуждается в перезагрузке системы для установки программ. Установленное программное обеспечение будет доступно всем пользователям компьютера.
•	Назначение пользователю — назначает программное обеспечение пользователям так, что оно будет установлено при входе пользователя в систему. Эта техника не требует какого-либо вмешательства со стороны пользователя, но предполагает входа в систему для установки программы. Установленное программное обеспечение будет доступно только конкретному пользователю.
•	Публикация пользователю — публикует программное обеспечение так, что пользователи могут установить его вручную с помощью утилиты Программы и компоненты. Эта техника требует вмешательства пользователя для установки программы или активации установки. Установленное программное обеспечение будет доступно только конкретному пользователю.
При использовании назначения пользователю или публикации пользователю, можно объявлять программное обеспечение так, чтобы компьютер мог установить программу при ее первом использовании. В этом случае про
Справочник системного администратора
граммное обеспечение может быть установлено автоматически в следующих ситуациях:
•	когда пользователь пытается открыть документ, для работы с которым нужна программа;
•	когда пользователь открывает ярлык приложения;
•	когда другому приложению требуется компонент программы.
При настройке политики Установка щмлрамм не нужно использовать существующие GPO. Вместо этого следует создать объекты GPO, которые будут настраивать установку программ и затем привязать эти GPO к соответствующим контейнерам в групповой политике. При использовании этого подхода значительно проще повторно развернуть программное обеспечение и применить обновления.
После создания GPO для разворачивания программного обеспечения нужно настроить точку распространения. Точка распространения — это общая папка, которая доступна компьютерам и пользователям, для которых вы разворачиваете ПО. Как правило, можно подготовить точку распространения путем копирования файла пакета инсталлятора и всех необходимых приложению файлов на общий ресурс и настройкой разрешений так, чтобы все эти файлы были доступны. Для других приложений, например Microsoft Office, можно подготовить точку восстановления путем административной установки на общий ресурс. В случае с MS Office нужно запустить программу установки с параметром /а и указать общий ресурс как назначение установки. Преимущество административной установки состоит в том, что программное обеспечение может быть обновлено и повторно развернуто через политику Установка программ.
Развертывание программ в домене
Политика Установка программ используется только с пакетами установщика Windows (msi) и пакетами приложений нижнего уровня ZAW (zap). При использовании назначения компьютера, назначения пользователя или публикации можно развернуть ПО с помощью пакетов установщика Windows. При использовании публикации можно применять как msi-пакеты, так и zap-пакеты. Необходимо установить разрешения на файле пакета установщика так, чтобы у соответствующих компьютеров и пользователей был доступ для чтения.

Глава 3. Автоматизация административных задач
Поскольку политика Установка программ применяется во время обработки настроек политики, развертывание приложения на компьютере обрабатывается при его запуске, а развертывание приложения для пользователя осуществляется при входе в систему. Можно настроить установку с использованием файлов преобразований (mst). Эти файлы изменяют процесс установки согласно настройкам, которые заданы для определенных компьютеров и пользователей.
Развернуть программное обеспечение можно с помощью следующих действий:
1.	В консоли GPMC щелкните правой кнопкой мыши на GPO, который нужно модифицировать для распространения, и затем нажмите кнопку Изменить.
2.	В редакторе политики разверните узел Конфигурация компьютерах Конфигурация программ\Установка программ или узел Конфигурация пользователя\Конфигурация программ\Установка программ в зависимости от типа разворачивания ПО.
3.	Щелкните правой кнопкой мыши на политике Установка протрамм. В появившемся контекстном меню выберите команду Создать, Пакет.
4.	В окне Открытие перейдите к сетевому ресурсу, в котором размещены пакеты, щелкните на пакете для его выбора и нажмите кнопку Открыть.
5.	В окне Развертывание программ, выберите один из следующих методов развертывания и нажмите кнопку ОК (рис. 3.7):
Развертывание программ	X
Выберите метод развертывания
публичный
-<*Ш°значенныйЁ
Q особый
Выберите этот параметр для назначении ярлыка приложению без изменений
ОК	Отмена
Рис. 3.7. Развертывание программы
» публичный — публикует приложение без изменений;
» назначенный — назначает приложение без изменений;
127
Справочник системного администратора
» особый — развертывание приложения с использованием расширенных параметров настройки.
После добавления пакета можно изменить его параметры. Для этого дважды щелкните по нему, чтобы открыть окно Свойства. На вкладке Развертывание можно изменить тип развертывания и настроить следующие параметры развертывания и установки.
•	Автоматически устанавливать приложение при обращении к файлу с соответствующим расширением — связывает приложение с файлами, которое оно обрабатывает. Программа будет установлена при первом обращении к файлу связанного типа. Используется по умолчанию.
•	Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления — удаляет приложение, если оно. больше не применимо к пользователю.
•	Не отображать этот пакет в окне мастера установки и удаления программ панели управления — запрещает отображение приложения в окне Установка/удаление программ, что предотвращает удаление приложения пользователем.
•	Устанавливать это приложение при входе в систему — при входе пользователя в систему будет произведена полная установка программы, а не «объявление» приложения. Эта опция не может быть выбрана, когда приложение публикуется для пользователя.
•	Пользовательский интерфейс при установке — контролирует, как будет произведена установка. Значение по умолчанию — Полный, при этом пользователь увидит все экраны программы установки и все сообщения. При значении Простой пользователь увидит только сообщения об ошибках и сообщение о завершении установки.
3.2.3. Настройка автоматических обновлений ОС
Автоматические обновления помогают поддерживать операционную систему в актуальном состоянии. Хотя можно настроить автоматические обновления на основе компьютеров, обычно необходимо настроить эту функцию для всех пользователей и компьютеров, которые обрабатывают GPO — это более эффективная техника управления. Описанные далее групповые политики будут актуальны для систем Windows 8/10/Windows Server 2012/2016/2019.
Глава 3. Автоматизация административных задач
При управлении автоматическими обновлениями через групповую политику, можно выбрать конфигурацию обновления.
1.	Автоматическая загрузка и установка по расписанию — обновления будут автоматически загружены и установлены в соответствии с созданным расписанием. Когда обновления будут загружены, операционная система уведомит пользователя, что он может просмотреть запланированные обновления. Пользователь может установить обновления или подождать, пока придет время запланированной установки.
2.	Автоматическая загрузка и уведомление об установке — операционная система получит все обновления и когда они станут доступны, уведомит пользователя, что они готовы к установке. Пользователь может принять или отклонить обновления. Принятые обновления будут установлены. Отклоненные обновления не будут установлены, но останутся в системе и их можно будет установить позже.
3.	Уведомление о загрузке и установке — операционная система уведомляет пользователя перед получением любых обновлений. Если пользователь выберет загрузку обновлений, у него есть еще возможность принять или отклонить их. Принятые обновления будут установлены. Отклоненные обновления не будут установлены, но останутся в системе, и их можно будет установить позже.
4.	Разрешить локальному администратору выбирать параметры — позволяет локальному администратору настраивать автоматическое обновление. Заметьте, что используются любые другие опции, локальные пользователи и администраторы не могут изменить параметры автоматического обновления.
Настроить автоматическое обновление можно так:
1.	В консоли GPMC щелкните правой кнопкой мыши по GPO, с которым нужно работать, и выберите команду Изменить.
2.	В редакторе политик разверните узел Конфигурация компыотера\По-литики\Административные шаблоны\Компоненты Windows\ Центр обновления Windows.
3.	Дважды щелкните на политике Настройка автоматического обновления. В появившемся окне можно включить или отключить управление автоматическими обновлениями с помощью групповой политики. Для включения управления автоматическими обновлениями установите переключатель Включено, для отключения управления — переключатель Отключено. Нажмите кнопку ОК и пропустите следующие шаги.
Справочник системного администратора
4.	Из списка Настройка автоматического обновления выберите опцию обновления.
5.	Если выбрана опция Автоматическая загрузка и установка по расписанию, можете выбрать день и время установки обновлений. Нажмите кнопку ОК для сохранения изменений.
3.3. Планировщик заданий
Посредством планировщика заданий можно автоматизировать запуск различных задач на сервере. Вызвать планировщик заданий можно через меню Средства диспетчера серверов (рис. 3.8).
Плачиэовщж заданий
файл Действие Вид Справка
Q Планировщик заданий <Ло
Состояние задач, начатых в указанный период времени:	м последние 24 часе
Сводка. всего - 51,0 - выполнение, 51 • успех. О - остановлено, 0 - ошибка
Действия
Подключиться к другом,.
Создать простую задачу..
* Создать задачу-
Импортировать задачу., Отображать все выполн...
Я Отключить журнал всех... настройка учетной ыпи_ Зад
. Обновить
Q Справка
название задачи	Результ... Началовы- Завершени- Иницииро..
В ЛЕТ Framework NGEN v..
В ЛЕТ Framewoot NG EK v_
В AnaiyzeSystem {последи..
В aptxr-feofenJai’y тпосл..
В Conso-idator {последне..
В Релсе (последнее вы~_
Последнее обновление в 06.04.2020 15:36:59
Рис. 3.6. Планировщик заданий
Для создания новой задачи выполните следующие действия:
1.	На панели Действия выберите команду Создать задачу.
2.	В появившемся окне Создание задачи на вкладке Общие введите название задачи, ее описание (если нужно).
3.	Нажав кнопку Изменить можно выбрать учетную запись, от имени которой будет запущена задача. На рис. 3.9 задача будет выполняться от имени администратора.
130
Глава 3. Автоматизация административных зада
0 Создание задачи
X
Изменить».
При выполнении задачи использовать следующую учетную запись пользователя: ЕХАМР1Е\Администратор
Выполнять только для пользователей, вошедших в систему О Выполнять для веек пользователей
Не сохранять пароль. Будут доступны ресурсы только локального компьютера. ЕН Выполнить с наивысшими правами
Q Скрытая задача Настроить для: Windows Vista™. Windows Server™ 2003
ОК	Отмена
Рис. 3.9. Создание задачи
4.	Выберите, для кого нужно выполнять эту задачу - только для пользователей, вошедших в систему или для всех пользователей.
5.	Перейдите на вкладку Триггеры и нажмите кнопку Создать. Триггеры позволяют определить, когда именно будет выполнена задача.
6.	В окне Создание триггера определите, когда именно будет выполнена задача:
» Однократно - задача будет выполнена один раз в указанное время.
» Ежедневно - задача будет выполняться каждый день в указанное время.
» Еженедельно - задача будет выполняться раз в неделю в указанное время.
» Ежемесячно - задача будет выполняться раз в месяц в указанное время.
7.	Определите другие параметры триггера, например, задайте срок действия задания. После того, как будете готовы, нажмите кнопку ОК.
8.	Перейдите на вкладку Действия и нажмите кнопку Создать.
[ 131 ,
Справочник системного администратора
9.	В окне Создание действия выберите тип действия:
» Запуск программы - единственное рекомендуемое действие.
» Отправить сообщение электронной почты - данное действие не рекомендуется Microsoft.
» Вывести сообщение - пользователю будет выведено сообщение в указанное время (не рекомендуется)
10.	Установите параметры, в зависимости от выбранного действия. Для запуска программы нужно указать путь к программе и задать (если нужно) аргументы и рабочий каталог.
11.	Нажмите кнопку ОК.
12.	Перейдите на вкладку Условия и задайте условия, определяющие необходимость выполнения задачи:
» Запускать задачу при простое компьютера - будет ли задача запущена при простое компьютера.
» Останавливать при выходе из простоя - выполнение задачи будет прервано, как только компьютер выйдет из состояния простоя (пользователь пошевелит мышкой или нажмет любую клавишу).
» Перезапускать при возобновления простоя - задача будет перезапущена, если простой возобновится.
» Запускать только при питании от электросети - актуально для ноутбуков, чтобы не увеличивать разряд аккумулятора.
» Останавливать при переходе на питание от батарей - если выполнение задачи началось, а затем компьютер перешел на питание от батарей, выполнение задачи будет приостановлено.
» Запускать только при подключении к следующей сети - позволяет выбрать сеть, при подключении к которой будет выполнено задание. Для серверов этот параметр неактуальный, поскольку они, как правило, подключены к одной и той же сети.
13.	Перейдите на вкладку Параметры и установите дополнительные параметры задачи:
» Выполнять задачу по требованию - позволяет настроить запуск задания по требованию (то есть, вручную) до или после назначенного запуска.
» Немедленно запускать задачу, если пропущен плановый запуск -если случилось так, что задача не была выполнена, например, из-за

Глава 3. Автоматизация административных зада'
отключения электричества, то этот параметр позволит сразу же, кая только появится возможность, выполнить задачу.
» При сбое выполнения перезапускать через - позволяет перезапустить задачу, если произошел сбой.
» Останавливать задачу, выполняемую дольше - если выполнение задачи заняло больше указанного промежутка времени, ее выполнение будет прервано.
» Принудительная остановка задачи, если она не прекращается пс запросу - если задача не реагирует на «мягкий» останов, она будет остановлена принудительно.
» Если повтор задачи не запланирован, удалять через - позволяет удалить задачу, если не запланирован ее повтор.
» Если задача уже выполняется, то применять правило - позволяет применить одно из правил к задаче, если она уже выполняется. Допустим, вы создали задачу, которая должна выполняться каждый час. Нс выполнение задачи заняло более часа, поэтому она еще выполняется но пришло время снова выполнить ее. По умолчанию применяется правило Не запускать новый экземпляр, что позволит не запускатт задачу снова, если она еще выполняется.
14.	Нажмите кнопку ОК для создания задачи.
Мы рассмотрели основные вопросы, связанные с автоматизацией административных задач. В следующей главе мы рассмотрим основы безопасности Windows Server.
£ 133
Глава 4.
Основы безопасности Windows Server
Глава 4. Основы безопасности Windows Server
Методы обеспечения безопасности важны для успешного системного администрирования. Существуют два ключевых способа сконфигурировать настройки безопасности: использование шаблонов безопасности и политик безопасности.
4.1.	Шаблоны безопасности
4.1.1.	Введение в шаблоны безопасности
Шаблоны безопасности предоставляют централизованный способ управления настройками, связанными с безопасностью рабочих станций и серверов. Можно использовать шаблоны безопасности для применения их к определениям групповой политики на конкретных компьютерах.
Данные определения политики обычно влияют на следующие политики.
•	Политики учетных записей. Контролируют безопасность для паролей, учетных записей пользователей и безопасность Kerberos.
•	Локальные политики. Управляют аудитом, назначением прав пользователям и другими настройками безопасности.
•	Политики протоколирования событий. Управляют безопасностью для протоколирования событий.
f 135
Справочник системного администратора
•	Политики ограниченных групп. Управляют безопасностью локальной группы.
•	Политики системных служб. Контролируют безопасность и режим запуска локальных служб.
•	Политики файловой системы. Контролируют безопасность для файлов и папок локальной файловой системы.
•	Политики реестра. Контролируют права доступа на ключах реестра, связанных с безопасностью.
Работа с шаблонами безопасности — сложный процесс, состоящий из следующих шагов:
1.	Используйте оснастку Шаблоны безопасности для создания нового шаблона или выбора существующего шаблона, который нужно изменить.
2.	Используйте оснастку Шаблоны безопасности для внесения необходимых изменений в настройки шаблона и для сохранения изменений.
3.	Используйте оснастку Анализ и настройка безопасности для анализа различий между выбранным шаблоном и текущими настройками компьютерной безопасности.
4.	При необходимости пересмотрите шаблон после того, как найдете различия между настройками шаблона и текущими настройками компьютера.
5.	Используйте оснастку Анализ и настройка безопасности для применения шаблона и перезаписи существующих настроек безопасности.
При работе с шаблонами безопасности нужно определить, можно ли использовать существующий шаблон в качестве отправной точки. Другие администраторы, возможно, тоже создали шаблоны или у организации есть базовые шаблоны, которые нужно использовать. Также можно создать новый шаблон и принять его в качестве начальной точки.
Примечание. Шаблоны безопасности доступны во всех инсталляциях Microsoft Windows Server и могут быть импортированы в любой объект групповой политики. Шаблоны безопасности применяются только к области Конфигурация компьютера групповой политики. Они не применяются к области Конфигурация пользователя. В групповой политике вы найдете применяемые параметры в Конфигурация ком-
Глава 4. Основы безопасности Windows Servei]
пьютера\Конфигурация Windows\riapaMeTpbi безопасности. Некоторые параметры безопасности не включены, например, те, которые применяются к беспроводным сетям, публичным ключам, ограничениям программного обеспечения и IP-безопасности.
Когда вы начинаете работать с шаблонами безопасности, вы должны определить, можете ли вы использовать существующий шаблон в качестве начальной точки. Другие администраторы, возможно, тоже создали шаблоны или у вашей организации есть базовые шаблоны, которые вы должны использовать. Вы также можете создать новый шаблон и использовать его в качестве начальной точки.
Совет. Если вы выбираете шаблон, который вы хотите использовать в качестве начальной точке, вы должны пройти через каждую установку, которую применяет шаблон. Оценит, как эта установка влияет на вашу среду. Если установка не целесообразна, вы должны изменить или удалить ее.
Не используйте оснастку Шаблоны безопасности для применения шаблонов. Для применения шаблонов нужно использовать оснастку Анализ и настройка безопасности. Также вы можете использовать эту оснастку для сравнения настроек шаблона с текущими настройками компьютера. Результаты анализа выделяют области, где текущие настройки не соответствуют настройкам в шаблоне.
4.1.2.	Использование оснасток «Шаблоны безопасности» и «Анализ и настройка безопасности»
Вы можете открыть оснастки Шаблоны безопасности и Анализ и настройка безопасности (рис. 4.1) так:
1.	Запустите консоль управления Microsoft (команда шшс). Один из способов сделать это - нажать клавишу Windows, ввести mmc.exe и нажать Enter.
2.	В консоли управления выберите команду Файл, Добавить или удалить оснастку.
Справочник системного администратора
Добавление и удаление оснасток
Вы можете выбрать оснастки для этой консоли ю доступных на компьютере оснасток и затем настроить их. Для расширяемых оснасток можно настроить требуемое расширение.
Доступные рснастки:
Оснастка
Поставщик
^Анализ и настрой. . Корпорация. ЗЭДиспетчер автори... Корпорация... jlДиспетчер служб... Microsoft Со... Л Диспетчер устрой... Корпорация.
Локальная архив. (с) Кор пора... ^Локальные польз... Microsoft Со... ]£ Маршрутизация и... Microsoft Со...
Монитор IP-безол... Microsoft Со... ЙР Монитор брандма... Microsoft Со-
общив папки	Microsoft Со...
Папка	Корпорация...
О Планировщик зад... (с) Корпора... j Просмотр событий (с) Корпора...
Редактор объекте... Microsoft Со...
Изменить расширения—
Дополнительно.
вверх
В-на
Описание:
“Анализ и настройка безопасности" • это оснастка ММС, позволяющая анализировать и настраивать параметры безопасности на компьютерах Windows с помощью файлов шаблонов безопасности.
i
ОК	Отмена
Рис. 4.1. Добавление оснастки Шаблоны безопасности в консоль mmc
3.	В окне Добавление и удаление оснасток выберите Шаблоны безопасности и нажмите Добавить
4.	Выберите Анализ и настройка безопасности, нажмите Добавить, потом нажмите ОК
По умолчанию, оснастка Шаблоны безопасности ищет шаблоны в каталоге %SystemDrive%\Users\%UserName%\Documents\Security\Templates. Вы можете добавить другие пути для поиска шаблонов с помощью следующих действий:
1. Выберите оснастку Шаблоны безопасности в ММС, из меню Действие выберите команду Новый путь для поиска шаблонов.
2. В окне Обзор папок выберите папку с шаблонами, например, %System-Root%\security\templates\policies, и нажмите ОК.
Теперь, когда вы определили местоположение для поиска шаблонов, с которыми вы будете работать, выберите шаблон и просмотрите его настройки. Если готовых шаблонов пока нет, самое время их создать.
Создать новый шаблон можно так:
" 138 j
Глава 4. Основы безопасности Windows Server
1.	В оснастке Шаблоны безопасности щелкните правой кнопкой мыши по пути, в котором нужно создать шаблон и выберите команду Создать шаблон.
2.	Введите имя и описание шаблона в появившемся окне.
3.	Нажмите ОК для создания шаблона. Будет создан шаблон, но ни один из параметров не будет настроен, поэтому вам нужно внимательно настроить шаблон перед его использованием.
4.	После того, как вы измените настройки шаблона, щелкните на его названии и выберите команду Сохранить. Альтернативно, вы можете использовать команду Сохранить как, чтобы назначить шаблону новое имя.
Рис. 4.2. Шаблон Server создан
4.1.3.	Изменение настроек для политик учетных записей, локальных политик и журнала событий
Настройки политики учетных записей (узел Политики учетных записей) контролируют безопасность паролей, блокировки учетных записей, а также безопасность Kerberos. Параметры локальных политик (узел Локальные политики) контролируют безопасность для аудита, назначения прав пользователям и другие параметры безопасности: Параметры журнала событий (узел Журнал событий) контролируют безопасность журнала событий.
Настройки политики учетных записей, локальных политик и журнала безопасности можно изменить с помощью следующих действий:
Справочник системного администратора
1.	В оснастке Шаблоны безопасности разверните нужный узел, азатем выберите соответствующий подузел, например, Политика паролей или Политика блокировки учетной записи.
2.	На правой панели параметры политики выводятся в алфавитном порядке. Значение в колонке Параметр компьютера отображает текущее значение. Если шаблон изменяет настройки так, что политика больше не определена, в этом колонке будет значение Не определено.
3.	Дважды щелкните на параметре, чтобы отобразить диалог Свойства, изображенный на рис. 4.3. Для определения назначения параметра перейдите на вкладку Объяснение. Для определения политики в шаблоне включите флажок Определить следующий параметр политики в шаблоне. Для отмены применения политики, снимите этот флажок.
Свойства: Минимальная длина пароля
Параметр шаблона политики безопасности Объяснение
Минимальная длина пароля
[^Определить следующий параметр политики в шаблоне Длина пароля не менее
ОК | Отмена Применить
Рис. 4.3. Изменение настроек шаблона
4.	Если вы включите настройку политики, укажите ее значение и любые другие дополнительные параметры
5.	Нажмите ОК для сохранения изменений. Вы увидите диалог Suggested Value Changes, показанный на рис. 4.4. Этот диалог информирует вас о других значениях, которые изменены на основании измененных вами
140
Глава 4. Основы безопасности Windows Seiver
Предлагаемые изменения значений
Так как значение "Пороговое значение блокировки" изменено на "5 ошибок входа в систему” следующие элементы получат предлагаемые значения.
Предлагаемое знамен.
30 мин.
30 мин
ОК | Отмена
Рис. 4.4. Предлагаемые значения
значений. Например, когда вы изменяете настройки Пороговое значение блокировки, Windows также может изменить настройки Время до сброса счетчика блокировки и Продолжительность блокировки учетной записи.
4.1.4.	Настройка групп с ограниченным доступом
Настройки политики групп с ограниченным доступом управляют списком членов групп, а также группами, к которым принадлежит настроенная группа. Вы можете настроить ограниченную группу так:
1.	В оснастке Шаблоны безопасности выберите узел Группы с ограниченным доступом. На правой панели вы увидите уже настроенные группы с ограниченным доступом в алфавитном порядке. Также перечислены члены группы.
2.	Для добавления ограниченной группы щелкните правой кнопкой мыши по узлу Группы с ограниченным доступом и выберите команду Добавить группу. В диалоге Добавление группы нажмите кнопку Обзор.
3.	В диалоге Выбор: «Группы» введите группу, которую вы хотите ограничить или нажмите Проверить имена. Если будет найдено несколько совпадений, выберите учетную запись, которую вы хотите использовать и затем нажмите ОК. Если совпадения не будут найдены, измените введенное вами имя и попытайтесь поискать снова. Повторите этот шаг столько раз, сколько будет необходимо, затем нажмите ОК.
4.	В диалоге Свойства, показанном на рис. 4.5, вы можете использовать опцию Добавить членов группы для добавления членов в группу. Нажмите кнопку Добавить членов группы, а затем укажите членов группы. Если в группе не должно быть никаких членов, выделите все члены и нажмите Удалить. Любые члены, которые не определены в установке
Справочник системного администратора
IISJUSRS Свойства	? X
Настройка членства для IISJUSRS
Члены этой группы <Эта группа должна быть пустой>
I Добавить членов группы.. |
Эта группа входит в
«Группы которым принадлежит эта группа не должны изненяться>
Добавить группы
ОК	Отмена Применить
Рис. 4.5. Свойства группы
политики для ограниченной группы, будут удалены при применении шаблона безопасности.
5.	В диалоге Свойства нажмите кнопку Добавить группы для указания групп, к которым эта группа будет принадлежать. Если вы не определяете членство в группах, группы, которым принадлежит эта группа, не будут изменены при применении шаблона.
6.	Нажмите ОК для сохранения настроек.
Для удаления ограниченной группы выполните эти действия:
1.	В оснастке Шаблоны безопасности, выберите узел Группы с ограниченным доступом. На панели справа будут в алфавитном порядке выведены группы. Члены группы будут выведены напротив имени группы.
2.	Щелкните правой кнопкой мыши (или нажмите и удерживайте имя группы пальцем) и выберите команду Удалить. Когда вас попросят подтвердить действие, нажмите Да.

Глава 4. Основы безопасности Windows SeiA/er
4.1.5.	Включение, отключение и настройка системных служб
Настройки политики для системных служб контролируют общую безопасность и режим запуска локальных служб. Вы можете включить, выключить и настроить системные службы:
1.	В оснастке Шаблоны безопасности выберите узел Системные службы. На панели справа будут отображены установленные в данный момент службы, выводится имя службы, тип запуска и настройка разрешений. Когда работаете со службами, помните следующее:
» Если шаблон не изменяет тип запуска службы, в колонке Автозагрузка выводится Не определено. В противном случае выводится одно из следующих значений: Автоматически, Вручную, Отключен.
» Если шаблон не изменяет конфигурацию безопасности службы в колонке Разрешение, выводится значение Не определено. В противном случае выводится Настроено.
2.	Дважды щелкните по записи службы, чтобы открыть ее диалог Свойства, изображенный на рис. 4.6. Чтобы определить и применить параметры политики, включите флажок Определить следующий параметр политики в шаблоне. Для очистки политики и отмены ее применения, снимите этот флажок.
Свойства: DHCP-клиент	? X
Параметр шаблона политики безопасности
1 DHCP-клиент
[^]^пределить^ледук»ций_гараметр политики в шаблоне,
Выберите режим запуска службы
Q) автоматический
Вручную
•^Запрещен
Изменить параметры.
ОК | Отмена Применить
Рис. 4.6. Изменяем настройки шаблона для системных служб

Справочник системного администратора
3.	Если вы включите настройку политики, укажите тип запуска службы:
Автоматический, Вручную, Запрещен. Помните следующее:
» Автоматический - служба будет запущена автоматически при запуске операционной системы. Выберите эту установку для важных служб, которые точно безопасны. Эти службы будут запущены на всех компьютерах, к которым применяется шаблон безопасности, если, конечно, службы установлены на этих компьютерах.
» Вручную - предотвращает автоматический запуск службы, но разрешает запуск службы вручную пользователем, приложением или другой службой. Выберите эту установку, когда нужно ограничить ненужные или неиспользуемые службы или когда вам нужно ограничить службы, которые не совсем безопасны.
» Запрещен - предотвращает запуск службы, автоматический или ручной. Выберите эту установку для службы, запуск которой вы хотите запретить.
4.	Если вы хотите изменить (или просто просмотреть) конфигурацию безопасности, нажмите кнопку Изменить параметры. Появится диалог Безопасность для <Название службы>, в котором вы сможете установить разрешения для определенных пользователей и групп, которые могут запускать, останавливать и приостанавливать службу на компьютере.
5.	Нажмите ОК.
4.1.6.	Настройка параметров безопасности для реестра и файловой системы
Настройки политик для файловой системы контролируют безопасность для файлов и папок в локальной файловой системе. Параметры политик для реестра контролируют значения ключей реестра, связанных с безопасностью. Вы можете просмотреть или изменить параметры для определенных в данный момент ключей реестра и путей файловой системы с помощью следующих действий:
1.	В оснастке Шаблоны безопасности выберите узел Реестр или Файловая система, в зависимости от того, с чем вы хотите работать. На правой панели будет выведен список всех защищенных путей. Для добавления пути в список щелкните правой кнопкой мыши на узле Реестр или Файловая система и выберите команду Добавить раздел или Добавить файл соответственно.
Глава 4. Основы безопасности Windows Server
S*? *wtip №КДЛ( к;й	iX ₽И’,ВД
©ел.
Ш Файл Действие Вид Избранное Окно Спмвк» Пс
а В_______________&
Корен» консоли	.
Ь Аиалив и м*стро*>« безопасности
,* || Шаблоны безопасности
IV S СЧЬегс\Администрагор\0оалт>епО\ v i Serve
* Л Политики учетных записей > Л Политика паролей
3 Политика блокировки учетн
I	> > Политика Кегбетоз
> J Локальные-олитихл
3 Журнал событий
Д Групгтыс ограничите**! доступ  А Системные службы
<1 Реестр
> < Файловая систем»
4 SOFTWARE
&£• Na*r«Mraa
ооес
Выбранный роздал
•^Настроить »тот роздал
Действий Peeclp
X Дополнительны* _
наследуемым*»

Рис. 4.7. Измените параметры шаблона для файлов и ключей реестра
2.	Дважды щелкните на пути реестра или файловой системы для просмотра его параметров, как показано на рис. 4.7.
3.	Чтобы убедиться, что путь или ключ не заменяется, выберите Запретить замену разрешений в этом разделе, а затем нажмите ОК. Пропустите оставшиеся шаги этой процедуры.
4.	Чтобы заменить разрешения выберите Настроить этот раздел, а затем одну из двух опций:
» Распространить наследуемые разрешения на все подразделы (или соответствующее название для файлов) - выберите эту опцию для применения всех наследуемых разрешений к этому пути реестра или файловой системы и ко всем вложенным путям реестра/файловой системы. Существующие разрешения будут заменены только, если они конфликтуют с разрешениями безопасности для этого пути.
» Запретить текущие разрешения во всех подразделах наследуемыми (или соответствующее название для файлов) - выберите эту опцию для замены всех существующих разрешений для этого пути реестра или пути файловой системы и для всех вложенных путей реестра или путей файловой системы. Любые существующие разрешения будут удалены, останутся только текущие разрешения.
145
Справочник системного администратора
5.	Нажмите Изменить параметры. В диалоге Безопасность базы данных для настройки разрешения безопасности для пользователей и групп. Установка разрешений подобна аналогичной процедуре для файлов/па-пок на файловой системе NTFS.
6.	Нажмите ОК дважды для сохранения изменений.
4.1.7.	Анализ, просмотр и применение шаблонов безопасности
Как было указано ранее, оснастка Анализ и настройка безопасности используется для применения шаблонов и для их сравнения с текущими настройками компьютера. Применение шаблона позволяет удостовериться, что параметры шаблона были применены к конфигурации компьютера. Сравнение настроек может помочь идентифицировать любые несоответствия между тем, что реализовано в настоящее время и что определено в шаблоне безопасности. Это может также быть полезно, чтобы определить, изменялись ли настройки безопасности в течение долгого времени.
Основной недостаток использования оснастки Анализ и настройка безопасности в том, что вы не можете сконфигурировать несколько компьютеров сразу. Вы можете настроить безопасность только на компьютере, на котором вы запускаете оснастку. Если нужно использовать этот инструмент, чтобы развернуть конфигурации безопасности, вы должны войти в систему и запустить ее на каждом компьютере. Этот метод нормально работает на автономных компьютерах, но является далеко не самым оптимальным в домене. В домене вам нужно импортировать настройки шаблонов в объект групповой политики и затем развернуть конфигурацию безопасности сразу на множестве компьютеров. Об этом мы поговорим позже.
Оснастка Анализ и настройка безопасности использует базу данных для хранения настроек шаблона безопасности и затем применяет настройки из этой базы данных. Для анализа и сравнения настройки шаблона перечислены как настройки базы данных, а конфигурация компьютера - как настройки компьютера. Имейте в виду, что если вы активно редактируете шаблон в оснастке Шаблоны безопасности, вам нужно сохранить шаблон, чтобы изменения могли быть проанализированы и использованы.
После создания шаблона (или выбора существующего шаблона), вы можете проанализировать и затем настроить шаблон следующим образом:
1.	Откройте оснастку Анализ и настройка безопасности
Глава 4. Основы безопасности Windows Served
2.	Щелкните правой кнопкой мыши на Анализ и настройка безопасности, затем выберите команду Открыть базу данных. Будет открыт одноименный диалог.
3.	По умолчанию путь в диалоге Open Database будет установлен в %Sys-temDrive%\Users\%UserName%\Documents\Security\Database. При необходимости смените каталог. В поле Имя файла введите описывающее имя базы данных, например, Сравнение конфигурации, и нажмите Открыть. База данных безопасности будет создана в формате Security Database Files (расширение .sdb)
4.	Откроется окно Импорт шаблона. По умолчанию путь для поиска шаблонов - %SystemDrive%\Users\%UserName%\Documents\Security\ Templates. При необходимости вы можете перейти в другую папку. Выберите шаблон безопасности, который вы желаете использовать и нажмите Открыть. Файл шаблона безопасности имеет расширение .inf.
5.	Щелкните правой кнопкой мыши по узлу Анализ и настройка безопасности и выберите команду Анализ компьютера. Когда вас попросят установить путь для журнала, нажмите ОК, чтобы использовать путь по умолчанию.
6.	Дождитесь, пока оснастка выполнит анализ шаблона. Если во время анализа произойдет ошибка, вы сможете просмотреть журнал ошибок, щелкнув правой кнопкой мыши по Анализ и настройка безопасности и выбрав команду Показать файл журнала.
Когда вы работаете с оснасткой Анализ и настройка безопасности, вы сможете просмотреть разницу между настройками шаблона и текущими настройками компьютера. Как показано на рис. 4.8, настройки шаблона выводятся в колонке Параметр базы данных, а настройки компьютера - в Параметр компьютера. Если настройка не анализируется, выводится Не определено.
Внести изменения в базу данных (то есть изменить значение в колонке Параметр базы данных) можно следующим образом:
1.	В оснастке Анализ и настройка безопасности дважды щелкните на значении, которое вы хотите изменить
2.	В диалоге Свойства (рис. 4.9) выводится текущее значение, установленное в настройках компьютера. Если назначение параметра вам непонятно, перейдите на вкладку Объяснение.
Справочник системного администратора
Консоль! - [Корень консолиХАнвлиэ и настройка 6сэол*атости\Политики учетных мписеР\Полип«ка паролей]
.* £ай.Ч Действие Дид Избранное Окно Оправка
>- е х в 
Корень консоли
J3 Анализ и настройка безопасности
~ О Политики учетных записей
Политика паролей
> J Политика блокировки учетной записи Локальные политики
к Журнал событий
Д Группы с ограниченным доступом
а Системные службы
Толитика
ввести журнал паролей
л. Максимальный срок действия пароля Минимальная длина пароля Минимальный срок действия пароля Пароль должен отвечать требованиям слож_ Хранить пароли, используя обратимое шиф_
Параметр баз. Не определено Не определено
не с пред едено Не определено Не определено
Параметр момпь.. О сохраненных п*~
О АН Включен Отключен
4 Файловая система
м (S Шаблоны безопасности
* 4 C-\U*enWMHKHCTpaTop\Documene\Securit > Т Server
Рис. 4.8. Просмотрите разницу между настройками шаблона и компьютера
Свойства: Максимальный срок действия паооля	? X
Анализируемый параметр политики безопасности Объяснение
,f Максимальный срок действия пароля
Параметр компьютера
Срок истечения действия пароля: [?2дн.
распределить следующую политику в базе данных:'
Срок истечения действия пароля:
42 t ЛН
Этот пор 1м«тр влияет только на базу данных Он не изг еняет текущие параметры компьютера
OK I Отмена Применить
Рис. 4.9. Изменение настройки политики в базе данных перед применением шаблона
148
Глава 4. Основы безопасности Windows Server
3.	Для определения значения политики включите флажок Определить следующую политику в базе данных. Для очистки политики и отмены ее применения, выключите этот флажок.
4.	Если вы включаете настройку политики, укажите, как значение политики должно использоваться, указав любые дополнительные параметры
5.	При необходимости повторите этот процесс. Для сохранения изменений в базе данных щелкните правой кнопкой по узлу Анализ и настройка безопасности и выберите команду Сохранить.
Когда вы будете готовы применить шаблон, щелкните правой кнопкой мыши по узлу Анализ и настройка безопасности и выберите команду Настроить компьютер. Когда вас попросят ввести путь к журналу ошибок, нажмите ОК для использования пути по умолчанию. Для просмотра журнала ошибок щелкните правой кнопкой мыши по узлу Анализ и настройка безопасности и выберите команду Показать файл журнала. Обратите внимание на любую проблему и примите соответствующие меры.
4.2. Политики, на которые стоит обратить внимание
4.2.1. Удаляем лишние команды из Проводника
Откройте редактор групповой политики (команда gpedit.msc) и перейдите в раздел Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Проводник (рис. 4.10.).
Как видите, есть много полезных и не очень политик. Рассмотрим несколько полезных. Так, политика Скрыть выбранные диски из окна «Мой компьютер* (рис. 4.11) позволяет удалить значки выбранных дисков из окна Этот компьютер (в последних версиях Windows это окно называется именно так).
Впрочем, если пользователь окажется умным и введет путь диска (например, D:\) в окне Проводника, он сможет получить доступ к нему. Для таких умных пользователей предназначена политика Запретить доступ к дискам через «Мой компьютер* (рис. 4.12).
Справочник системного администратора
Редактор локжлыюй групповой политики
Действие Дид [правка «* Т В Т
Windows Jfawe-Jwi	* Глюкам
Быстрый поиск _	. Чтобы просисгреть
«ад* с
Гижтрлочтпом	11ИВ „ ио.
Диспетчер вложений Диспетчер окон рабочего стом Добавить компоненты г Windows К Запуск при первом вкжочении юнг Звукозапись календарь Windows Консоль управления {MMQ Магазин Найти Общий сетевой доступ Отзыв файлов Отчеты об ошибка* Windows Параметры входа Windows Параметры презентации Планировщик заданий Планшет
Политики автозапуска Пользовательский интервейс грани Пользовательский интерфейс учетн Проводнк Проигрыватель Windows Ме-Ъа * Рабочие папки Рас- овожение и датчики Редактор метода ввода
<	_____> Расширенный
47 параметров
Состояние	Состояние Комментарий
Общее дче теговое окно открытия файлов
Панель кадра проводника
Предыдущие версии ! ' Откяочить отображение эскизов и отобрми	Не задана	Нет
ЬОткяочип отображение эскизов и сгображ-	Не задана	Нет
т, Откяочить кэширование эскизов в скрытых.	Не задана	нет
Г Не показывать центр начальной настройки.	не задана	Нет
Включить классическую оболочку	Не задана	Нет
Ц Запрашивать подтверждение при удалении. Не задана	Нет
А, Место, где располагаются все файлы спреде..	Не задана	Нет
г Отключить прямую привязку к IPropenySeCSt.	Не задана	Нет
:. Отключить возможности библиотеки W>ndo_	Не задана	Нет
.1 Отключить известные папки	Не задана	нет
у;. Отключить отображение предыдущих поиск.	Не задана	Нет
А. Разрешить использование талы» пользоеат..	Не задана	Нет
si. Запускать проводник со свернутой лентой	Не задана	Нет
aL Отключить отображение ♦рагчентив в режи..	Не задан*	Нет
Ж. Не отслеживать ярлыки оболсмги при пере..	Не задана	Нет
Ж. Максимальная длина списка «Недавние локу^	Не задана	Нет
£ Удалить возможности записи компакт дисков	не задана	Нет
й. Опсьочить кэширование эскизов изображен.	Не	задана	Нет
1 Запретить изменение видеоэвфектов для ме_	Не задана	Нет
.г Запретить изменение указателя клввиатурно.	не задана	нет
Уля)'*т^.вяла«* DPS .	,	_ HejjMja _	. , нет ....
iJ
Рис. 4.10. Параметры Проводника
Рис. 4.11. Ограничиваем доступ пользователей к определенным дискам
150
Глава 4. Основы безопасности Windows Server
Рис. 4.12. Запретить доступ к дискам
Неплохо было бы еще и запретить пользователю использовать окно Выполнить (открывается при нажатии Win + R). Для этого нужно включить политику Отключить сочетания клавиш Windows + X. Правда, эта политика «убьет» все сочетания, в том числе и Win + R, но отдельной политики, которая бы отключала отдельные команды, в современных версиях Windows нет (хотя раньше была политика, скрывающая команду Выполнить)
4.2.2.	Запрещаем доступ к командной строке и PowerShell
Окно Выполнить используют самые начинающие пользователи. Продвинутые пользователи используют или командную строку, или PowerShell. Запретить пользователям использовать командную строку можно с помощью политики Конфигурация пользователя, Административные шаблоны, Система, Запретить использование командной строки (рис. 4.13). Также включите опцию Запретить также обработку сценариев в командной строке, чтобы нельзя было запускать сценарии командной строки.
151
Справочник системного администратора
% Запретить использование командной строки
Запретить испольюмние командной строки
Предыдущий параметр
□ X
Следующий параметр
О tie задано Комментарий:
•• Включено
Q Отключено
Треб овния к версию
Не ниже Window» 2000
Параметры-
I
Звпреппь также обработку сценариев в командной строке?
Да
Этот параметр политики запрещает пользователям запускать окно командной строки Cmd.exe, Этот параметр политики также определяет, могут ли на этом компьютере выполняться пвкетмые файлы (-CMD и ВАТ)
[ Если этот параметр политики «ключей и пользоввтел* пытается открыть окно командной строки, система выводит
I сообщение о том, что это действие запрещено.
Если этот параметр политики отключен или не настроен, пользователи могут выполнять Cmd.exe и пакетные файлы в обычном режиме.
I
Примечание. Не следует запрещать выполнение пакетных файлов на компьютере если на нем применяются сценарии •хода, выхода, автоматического запуска или завершения работы, а также пользователям, использующим службы | удаленных рабочих столов.
OK I Отмена применить
Рис. 4.13. Запрещаем использование командной строки
Отдельной политики, запрещающей запуск PowerShell, нет, но есть политика, запрещающая запуск определенных приложений. Она называется Не запускать указанные приложения Windows и находится все в том же разделе Система. Включите ее и запретите запуск powershell.exe and powershell ise. ехе (рис. 4.14).
Также, пока вы еще не «ушли» из раздела Система, неплохо было бы запретить запуск редактора реестра. Для этого включите политику Запретить доступ к средствам редактирования реестра.
152
Глава 4. Основы безопасности Windows Server
Рис. 4.14. Запрет запуска PowerShell
4.2.3.	Максимальное время работы пользователя
Политика Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Ограничение сеансов по времени, Задать ограничение по времени для активных сеансов служб удаленных рабочих столов позволяет задать максимальную продолжительность сеанса. Ее можно установить, например, в 8 часов.
К сожалению, ничто не помешает пользователю снова залогиниться на сервере. Ограничить время входа на сервер можно только с помощью оснастки Пользователи и компьютеры Active Directory, но далеко не все терминальные серверы являются контроллерами домена, к сожалению. Разворачивать контроллер домена только ради этой функции не хочется (например, если терминальный сервер у вас используется только ради совместного доступа к 1С, нет смысла настраивать контроллер домена).
L153.
Справочник системного администратора
Задать ограничение по времени для активных сеансов служб удаленных рабочих столов	□ X
Задать ©граничение по времени для активных сеансов служб удаленных рабочих столов
Пр^дыдуший параметр Следующий параметр
ОНеимно ~ кем»!»*
у» включено
О фкяючено
Требования к версии
Не ниже операционных систем Windows Server 2003 или ¥/indow$ ХР Professional
Параметры:	Справка.
Ограничение активного сеанса в часов	v
Этот параметр позволяет задать максимальный период времени, в течение которого сеанс служб удаленных рабочих столов может оставаться активным, прежде чем будет автоматически отключен
Если вы включаете этот параметр политики необходимо выбрать требуемое ©граничение по времени г списке ограничений для активных сеансов Службы удаленных рабочих столов автоматически отключают активные сеансы по истечении указанного времени. За две минуты до отключение сеанса служб удаленных рабочих столов пользователь получает пред преждемме, после которого ©и может сохранить открытые файлы и закрыть программы. Для консольного сеанса ограничения по времени к
Рис. 4.15. Ограничиваем время сеанса

Рис. 4.16. Установка времени входа учетной записи
154
Глава 4. Основы безопасности Windows Server
4.2.4.	Отключение элементов панели управления
С помощью групповых политик можно отключить некоторые элементы панели управления. В разделе Конфигурация пользователя, Административные шаблоны, Панель управления находятся две замечательных политики - Скрыть указанные элементы панели управления и Запретить доступ к панели управления и параметрам компьютера. Первая позволяет запретить выбранные элементы панели управления, а вторая вообще запрещает доступ к панели управления и к параметрам компьютера.
4.3. Настройка межсетевого экрана с помощью групповых политик
В последних версиях Windows брандмауэр по умолчанию включен. Однако его параметры, установленные по умолчанию, удобны не для всех: защита активна, но задействованы исключения, обеспечивающие работу компьютера в локальной сети. В сетях с развернутыми системами управления брандмауэр будет блокировать доступ таких программ. Не будет обеспечиваться и должный уровень защиты в публичных сетях. Именно поэтому брандмауэры Windows нуждаются в централизованной настройке с помощью групповых политик.
Параметры настройки групповой политики брандмауэра Windows можно найти по следующему пути: Конфигурация компьютера, Административные шаблоны, Сеть, Сетевые подключения, Брандмауэр Защитника Windows (рис. 4.17).
В политике Брандмауэр Защитника Windows вы найдете контейнеры Профиль домена и Стандартный профиль. Первый используется при работе компьютера в домене, а второй — когда компьютер подключен к сети, где нет домена Windows.
Если на предприятии внедрена система удаленного мониторинга, то нужно открыть для этой программы все порты и включить опцию Разрешать исключения для удаленного управления — что даст возможность управления через удаленную консоль.
Для стандартного профиля нужно запретить использование всех исключений брандмауэра, потому что такой вариант является самым безопасным для публичной сети, а мы организуем сеть предприятия.
[ 155 '
Справочник системного администратора
Редактор локальной групповой политики	—	□ X
файл Действие Вид Справка
* * : < 15- Б : V	______________________
Windows Connect Now	А Состояние	Состояние Комментарий
Автономные файлы	Профиль домена
Беспрозодной дисплей	Стандартный профиль
Диспетчер подключений Windows Браидыа^р Защитника Wndc.K-Разрешить.. Не задана	Нет
Индикатор состояния сетевого подк
Обнаружение топологии связи (link Параметры TCP/IP
Z2 Параметры взаимодействия клиент. “
IS Параметры конфигурации SSL
> . Планировщик пакетов QoS Поставщик сети
_ Проверка подлинности для террито
СЗ Рабочая станция Lanman
Сервер Lanman Сетевая изоляция
* Сетевые подключения
Брандмауэр Защитника Windows
Служба WLAN
Служба WWAN
Фоновая интеллектуальная служба i v
<	>	, , РасширенныйСтандартный
1 параметров
Рис. 4.17. Настройка параметров брандмауэра Windows при помощи групповых политик
Рекомендуемые настройки параметров групповой политики для брандмауэра Windows приведены в табл. 4.1.
Таблица 4.1. Рекомендуемые параметры настройки брандмауэра Windows
Параметр	Профиль домена	Стандартный профиль
Защита всех сетевых подключений	Включен	Включен
Не разрешать исключения	Не задан	Включен, и настроены исключения для используемых программ
Определение входящих исключений программ	Включен, и настроены исключения для используемых программ	Включен, и настроены исключения для используемых программ
Разрешить локальные исключения программ	Отключен	Отключен
156
Глава 4. Основы безопасности Windows Server
Разрешить входящее исключение удаленного администрирования	Отключен	Отключен
Разрешает исключение для входящего общего доступа к файлам и принтерам	Отключен	Отключен
Разрешить исключения ICMP	Отключен	Отключен
Разрешить вводящие исключения удаленного рабочего стола	Включен	Включен
Разрешить исключения входящего трафика для UPnP	Отключен	Отключен
Запретить уведомления	Отключен	Отключен
Разрешить ведение журнала	Не задан	Не зад ан
Запретить одноадресные ответы на многоадресные или широковещательные запросы	Включен	Включен
Определять входящие исключения портов	Отключен	Отключен
Разрешить локальные исключения портов	Отключен	Отключен
157
Часть II. Служба каталогов
Вторая часть посвящена ActiveDirectory. В ней мы рассмотрим разворачивание службы каталогов, основные задачи администрирования, поговорим об управлении учетными записями пользователя и группы и попытаемся интегрировать в состав домена AD машину под управлением Linux.
Доменные службы Active Directory (Active Directory Domain Services, AD DS) — расширяемая и масштабируемая служба каталогов, которую можно использовать для активного управления сетевыми ресурсами. Администратору нужно четко понимать, как работает Active Directory. Данная технология усовершенствована и имеет множество функций.
Глава 5. Разворачивание Active Directory
Глава 6. Основы администрирования AD
Глава 7. Управление учетными записями пользователя и группы
Глава 8. Подключаем Linux к Windows-инфраструктуре
Глава 5.
Разворачивание Active Directory
2
правочник системного администратора
5.1. Введение в Active Directory
Active Directoiy — сердце доменов на базе Microsoft Windows. Практически любая административная задача в той или иной мере затрагивает Active Directoiy. Технология Active Directoiy основана на стандартных интернет-протоколах и разработана для того, чтобы помочь вам определить четкую структуру вашей сети.
Служба каталогов Active Directoiy использует систему доменных имен (Domain Name System, DNS). DNS — это стандартный интернет-сервис, объединяющий группы компьютеров в домены. Домены DNS организованы в иерархическую структуру. Иерархия домена DNS определена на основе всего Интернета, разные уровни в иерархии идентифицируют компьютеры, объединяя их в домены и домены верхнего уровня. DNS также используется для преобразования имен узлов в числовые адреса TCP/IP. С помощью DNS, структура иерархии домена Active Directoiy может быть частью доменной иерархии Интернета или же может быть отделена от Интернета (частной).
При обращении к компьютерам в домене DNS используется полное доменное имя (fully qualified domain name, FQDN), например, dev.example.com. Здесь, dev — имя отдельного компьютера, example — домен организации, а сот — домен верхнего уровня. Домены верхнего уровня (top-level domains, TLD) — база DNS-иерархии. TLD организованы по географическому признаку с использованием двухбуквенного кода страны (например, ги для
Глава 5. Разворачивание Active Directory
России), по типу организации (например, сот для коммерческих организаций), по функции (например, info для информационных ресурсов, org - для общественных организаций).
DNS интегрируется в технологию Active Directory, причем так глубоко, что сначала нужно настроить DNS в своей сети, а затем уже устанавливать Active Directory.
В случае с Windows Server 2019 процесс установки Active Directory состоит из двух частей. Первая часть - это установка программного обеспечения. Процесс установки начинается в диспетчере серверов выбором команды Добавить роли и компоненты, которая запустит Мастер добавления ролей и компонентов, используемый для установки роли Доменные службы Active Directory (рис. 5.1, рис. 5.2). В результате будут установлены двоичные файлы, необходимые для роли, а процесс установки будет показан на странице Ход установки.
Ci Мастер добавления ролей и компонентов
Вь бор ролей сервера
КОНЕЧНЫЙ СЕРВЕР WN-LGOG8ECFFJ5
Пер*д началом работы
’ип установки
Выбор «свел
Выберите одну или несколько ролей для установки на этом сервере
Роли
Описание
₽оли сервера
Комгсне-^ы
□ DNS-сервер
i □ Hyper-V
О Аттестация работоспособности устройств
г'	'Betr сервер'rttSi1 (Л 1анивлеяи 10 из О—
Г~! Доменные службы Active Directory
N Сяуийв еяемгне увяв ......—-.......—...-
Г~! Службы Active Directory облегченного доступа «
О Службы Windows Server Update Services
Г~1 Службы активации корпоративных лицензий
П Службы печати и документов
Г~1 Службы политики сети и доступа
Г~1 Службы развертывания Windows
Г~1 Службы сертификатов Active Directory
0 Службы удаленных рабочих столов
□ Службы управления правами Active Directory
Г~1 Службы федерации Active Directory
□ Удаленный доступ
* I  Файловые службы и службы хранилища (Устано
[ 1 Факс-сервер
: _ _
DHCP-сервер позволяет централизованно настраивать временные IP-адреса и связанные с ними данные, предоставлять их клиентским компьютерам а также управлять ими.
< Назад Ддлее >
Установить Отмена
Рис. 5.1. Установка роли Доменные службы Active Directory
В ходе установки вам будет сообщено, что для обеспечения отказоустойчивой работы сети нужно установить как минимум два контроллера домена и что нужно будет настроить DNS-сервер - если такая роль еще не установле-
[ 161 '
Справочник системного администратора
Мастер добавления ролей и компонентов	X
Добавить компоненты, необходимые для Доменные службы Active Directory?
Вы не можете установить Доменные службы Active Directory, если также не установлены следующие службы ролей или компоненты»
<• Средства удаленного администрирования сервера
* Средства администрирования ролей
* Средства AD DS и AD LDS
Модуль Active Directory для Windows PowerShell
* Средства AD DS
[Средства] Центр администрирования Active Dire
[Средства] Оснастки и программы командной ст|
[Средства] Управление групповой политикой
iV, Включить средства управления (если применимо)
Добавить компоненты
Отмена
Рис. 5.2. Нажмите кнопку Добавить компоненты для установки необходимых для работы AD DS компонентов
1^ Мастер добавления ролей и компонентов
Доменные службы Active Directory
KOhEMw . й CIP8EP WN-LGOGB£CFFJS
Перед началом ргбсть
Тип установки Выбор сервера
Роли сервера
АО OS
Годтвезмение
Доменные службы Active Directory (AD DS) хранят сведения о пользователях, компьютерах и других устройства* сети. Они помогают администраторам безопасно управлять этими сведениями и упрощают общий доступ к ресурсам и совместную работу пользователей
На что обратить внимание
•	Чтобы пользователи могли входить в сеть в случае отключение сервера, установите в каждом домене как минимум два контроллера домена.
•	Доменные службы Active Directory требуют наличия в сети установленного DNS-сервера. Если DNS-сервер не установлен будет предложено установить роль DNS-cepeepa на данном компьютере.
Отдельная веб-служба Azure Active Directory предоставляет пользователям возможность упрошенного управления удостоверениями и доступом, отчетность о
к безопасности, единый вход е облако и локальные веб-приложения
Дополнительные сведения о Azure Active Directory
Настройка Office 365 с подк-тючением Azure Active Directory
i < Назад 1 1 Дале* >
Рис. 5.3. На что обратить внимание при установке
162 ]
Глава 5. Разворачивание Active Directory
КОНЕЧНЫЙ СЕРВЕР
WN-LGOG8ECFHS
Перед началом работы Тип установка Выбор сервера Роля сервера Компоненты
AD DS
на, ее будет предложено установить на этом же компьютере (рис. 5.3). Просмотрите список устанавливаемого программного обеспечения и нажмите Установить. Все, можно сделать перерыв на кофе, а потом приступим ко второй части.
L Мастер добавления ролей и компонентов	—	□ X I
Подтверждение установки компонентов
Чтобы установить на выбранном сервере следующие роли службы ролей или компоненты, нажмите кнопку ’Установить*.
У Автоматический перезапуск конечного сервера, если требуется
На этой странице могут быть отображены дополнительные компоненты (например, средства администрирования), так как они были выбраны автоматически. Если вы не хотите устанавливать эти дополнительные компоненты., нажмите кнопку “Назад”, чтобы снять их слежки
Доменные службы Active Directory
Средства удаленного администрирования сервера
Средства администрирования ролей Средства AD DS и AD LDS Модуль Active Directory для Windows PowerShell Средства AD DS Центр администрирования Active Directory Оснастки и программы командной строки AD DS I Управление групповой политикой Экспорт параметров конфигурации Указать альтернативный исходный путь
[^< Назад /Шее >	। Установить Отмена
.  ие
Рис. 5.4. Нажмите кнопку Установить
Вторая часть развертывания - необходимо Повысить роль этого сервера до уровня контроллера домена (рис. 5.5). Нажмите данную ссылку и приступим ко второй части развертывания AD DS. Будет запущен Мастер настройки доменных служб Active Directory (рис. 5.6).
Данный мастер заменяет файл Dcpromo.exe, который использовался для настройки контроллеров домена в старых версиях Windows Server. Мастер также запускает файл Adprep.exe для подготовки надлежащей схемы. Если ранее Adprep.exe не запускался отдельно, будет установлен первый контроллер домена на базе Windows Server 2019 в существующем домене/ лесу, мастер попросит ввести соответствующие учетные данные, необходимые для запуска команды Adprep. Для подготовки леса нужно предоставить учетные данные члена одной из следующих групп: Администраторы предприятия, Администраторы схемы или Администраторы домена. Для подготовки домена необходимо предоставить учетные данные члена группы Администраторы домена. При установка первого контроллера домена только
ЦбГ
Справочник системного администратора
В. Мастер добавления ролей и компонентов
Ход установки
КОНЕЧНЫЙ СЕРВЕР WW-U3OG8ECFWS
Резугтагы
Просмотр года установки
Q Установка компонента
Гребуептт настройка. Установка выгюлненя на WIN-L6OGBECFW.
Доменные службы Active Directory
Чтобы сделать этот компьютер контроллером домена, требуются дополнительные действия.
Повысить роль этого сервере до уровня контроллера домена
Средства удаленного администрирования серэера
Средства администрирования ролей
Средства ADDS и AD LDS
Модуль Active Directory для Wlndowt PowerShell
Средства AD DS
Центр администрирования Active Directory
Этот мастер можно закрыть, не прерывая выполняющиеся задачи Наблюдайте за ходом выполнения задачи или откройте эту страницу снова, выбрав на панели команд пункт 'Уведомления', а затем ‘Сведения о задаче
Экспорт параметров конфигурации
< Назад J Далее >	Закыть Отмене
Рис. 5.5. Установка AD DS завершена
L Мастер настройки доменных служб Active Directory
Конфигурация развертывания
□ х
ЦЕЛЕВОЙ СЕРВЕР
WIN-LGOGBECFFJS
Конфигураци и	. t
Параметры контроллера...
Дополнительные парам .
Пути
Просмотреть параметры
Проверка предваритель
Выберите операцию развертывания
О Добавить контроллер домена в существующий домен
О Добавить новый домен в существующий лес
• Добавить новый дес
Укажите сведения о домене для этой операции
Имя корневого домена
iexample.corr|
Подробнее о возможных конфигурациях развертывания
< Нааад | Далее >	усмноонть' [ Отмена |
Рис. 5.6. Мастер настройки доменных служб Active Directory
164
Глава 5. Разворачивание Active Directoiy
для чтения (read-only domain controller, RODC) в лесу нужно предоставить учетные данные члена группы Администраторы предприятия.
Ваши действия зависят от текущей инфраструктуры. При настройке новой сети, когда не было существующих контроллеров домена, нужно выбрать Добавить новый лес и указать имя корневого домена, например, example, com.
Далее нужно выбрать режим работы леса и режим работы домена. Если вы не планируете в этом домене использовать старые версии Windows Server, выбирайте самый новый режим - Windows Server 2016. Да, даже если вы используете Windows Server 2019, самым новым режимом работы леса является Windows Server 2016.
Обратите внимание на следующие параметры:
•	Режим работы леса - определяет, какие функции и возможности есть на уровне леса.
•	Режим работы домена - определяет, какие функции будут доступны на уровне домена.
•	DNS-сервер - если DNS-сервер еще не был установлен, тогда не выключайте этот параметр.
lb Мастер настройки доменных служб Active Cirectory	—	□ X
п	ЦЕЛЕВОЙ СЕРВЕР
Параметры контроллера домена	win-lgogbecffjs
Выберите режим работы нового леса и корне»ого домена
Параметры»
Режим работы леса.	Windows Server 2016	*
Режим работы домена:	Windows Server 2016	*
Укажите возможности контроллера домена
V] DNS-сервер
Глобальный каталог (GQ Контроллер домена только для «гения (RODCJ
Введите пароль для режима восстановления служб каталогов (DSRM)
Паролд:	И Г	1
Подтверждение пароля:
Дополнительные сведения о параметрах контроллера домена
< Назад J Далее	Установить [~ Огмена
Рис. 5.7. Параметры контроллера домена
Справочник системного администратора
•	Глобальный каталог - на начальной установке доменных служб Active Directoiy обязателен, когда вы разворачиваете второй контроллер домена, то вы можете не устанавливать этот параметр.
•	Контроллер домена только для чтения (RODC) - позволяет настроить этот сервер, как контроллер домена только для чтения. При установке первого контроллера в этом домене данная опция будет недоступной. Но вы сможете настроить RODC после установки первого контроллера домена. Позже мы еще не раз поговорим о RODC.
•	Пароль для режима восстановления служб каталогов (DSRM) - он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора. Данный пароль должен отличаться от того, который вы используете для учетной записи Администратор. Сохраните этот пароль в надежном месте.
Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем - просто нажмите кнопку Далее (рис. 5.8). Следующий шаг - задаем короткое имя (NetBIOS) домена, обычно оставляют то, что предлагается мастером установки домена Active Directoiy.
Мастер настройки доменных служб Active Directory	—	□ X
ГЧК1Г	ЦЕЛЕВОЙ СЕРВЕР
Параметры DNS	win-lgogbecfhs
| > Делегирование для этого DNS-сервера невозможно создать, поскольку полномочная родительск... Дрг:с яните дыне	X [
КсхСйгурасия размерь Укажите параметры делегирования DN5
П?оам=(“ЗЬ!	..
Создать делегирование DNS
DNS
Дэполнвельные
Пу’и
Просмотреть параметры проверь» предваритепь.
Дополнительные сррдения о делегировании ONS
< Назад Далее > |	' тзь'-йюъ  | Отмена
Рис. 5.8. Просто нажмите кнопку Далее
166
Глава 5. Разворачивание Active Directory
& Мастер настройки доменных служб Active Directory
Дополнительные параметры
ЦЕЛЕВОЙ СЕРВЕР
WtN-LGOGBECFWS
разверы
Гзране-'ъ’ контроллера..
Параме-ры DNS
Проверьте NetBIOS-имя, присвоенное домену, и при необходимости измените его
Имя домена NetBIOS:
EXAMPLE
Дэполнигел' опарам...
Ррссмсхеъ иаргштры Проверка предварить,.
Подробнее о дсполнительнь.х возможностях
< Назад Далее > 1 Установить ; Q Отмена
Рис. 5.9. Короткое имя домена
Затем нужно указать расположение базы данных AD DS, файлов журналов и папки SYSVOL. Как правило, предложенные значения нет смысла менять. Просмотрите заданные параметры (рис. 5.10) и нажмите кнопку Далее, если все правильно. Нажмите кнопку Установить, чтобы приступить к повышению уровня сервера. Сервер будет автоматически перезагружен поле повышения уровня.
167
Справочник системного администратора
Мастер настройки доменных служб Active Directory	—	"* X
Просмотреть параметры
ЦЕЛЕВОЙ СЕРВЕР
WIN-LGOGBECFFJS
кокнтурация раэаерты.
Параметры контроллера
Параметры DNS
Дополнительные парам
Проверка гэедэгритедь
Просмотрите выбранные параметры:
Сделать данный сервер первым контроллером домена Active Directory в новом лесу,
^ыя нового домена: "example com*. Это имя является также именем нового леса.
NetBIOS-имя домена; EXAMPLE
Режим работы леса: Windows Server 2016
Режим работы домена: Windows Server 2016
Дополнительные параметры:
Глобальный каталог Да
DNS -сервер- Да
Создать DNS-делегирование: Нет
Для автоматизации дополните иных установок эти параметры можно экспортировать в сценарий Windows Power Shell
Просмотреть сценарий
jQc ”*?* Ц^денип c BafinWax установки
«Назад™] [ Дадее»
 стагюьи-. .. Отмена I
Рис. 5.10. Просмотр параметров
Мастер настройки доменных служб Active Directory
Проверка предварительных требований
ЦЕЛЕВОЙ СЕРВЕР
WIN-LGOGBECFFJS
Все проверки готовности к установке выполнены успешно. Чтобы запустить установку, нажмите... ,*к	 нитеи^з X
Конфигурация разеерть Параметры контролера.
Параметры DNS перем.
Пути
Просмотреть параметры
Перед установкой доменных служб Active Directory на этом компьютере нужно проверить, что выполнены предварительные требования
Повторить проверку предварительных требований
<*) Просмотр результатов
| На контроллерах домена под управлением Windows Server 2019 по умолчанию применяется параметр безопасности "Разрешать алгоритмы шифрования, совместимые с Windows NT 4.0”, который не позволяет использовать менее надежные алгоритмы шифрования при создании сеансов по защищенным каналам.
Дополнительные сведения об этом параметре см. в статье 942564 базы знаний (http: //go.microsoftxom/twIinkr'TLinkld=104751).
j Данный компьютер имеет по крайней мере один физический сетевой адаптер свойствам 1Р которого не наэначен(-ы) статический(-ие) IP-адреска}. Если для
j. Если вы нажмете кнопку "Установить”, сервер будет автоматически перезапущен посте повышения уровня.
Подробнее.о
1	। Г"
Остановить ] Отмена
Рис. 5.11. Нажмите кнопку Установить
< Назад ] Дд/ее
168
Глава 5. Разворачивание Active Directoiy
5.2.	Контроллер домена только для чтения (RODC)
Любой контроллер домена под управлением Windows Server 2008 R2 или более поздней версии может быть настроен как RODC. После установки службы DNS-сервера на RODC последний может также работать, как DNS-сервер только для чтения (read-only DNS, RO DNS).
Примечание. С одной стороны, возможность использования древних версий Windows Server позволяет использовать старые серверы, работающие под управлением этих версий, как RODC, что позволяет сэкономить некоторые средства. С другой стороны, тогда уровень леса/домена придется понижать до уровня этих серверов, что лишит вас функционала, который предоставляют новые версии Windows Server. Выбор за вами.
Функции RODC:
•	RODC тиражирует разделы каталога приложения, которые использует DNS, включая раздел ForestDNSZones и DomainDNSZones. Клиенты могут запрашивать RODNS-сервер для разрешения имен. Однако RODNS-сервер не поддерживает прямые клиентские обновления, поскольку RODNS не регистрирует записи ресурсов ни для какой размещаемой зоны Active Directoiy.
•	Когда клиент пытается обновить DNS-записи, сервер возвращает ссылку. Затем клиент может попытаться обновить DNS-сервер, указанный в ссылке. Посредством репликации в фоновом режиме сервер RODNS пытается получить обновленную запись от DNS-сервера, который и произвел обновление. Этот запрос репликации делается только для измененной записи DNS. Данные зоны или домена не передаются во время этого специального запроса.
Первый установленный в лесу или домене контроллер домена не может быть контроллером домена только для чтения. Однако можно настроить последующие контроллеры домена как RODC.
[ 169 ]
Справочник системного администратора
Разворачиваются RODC-контроллеры аналогичным образом: нужно включить параметр Контроллер домена только для чтения (RODC) в настройках контроллера домена.
5.3.	Компоненты Active Directory
Функциональный уровень домена задает функциональность, доступную в этом домене. Для доменов Windows Server 2016/2019 доступны следующие компоненты:
•	Корзина Active Directory — позволяет администраторам отменять ошибочное удаление объектов Active Directory аналогично восстановлению удаленных файлов из обычной Корзины Windows.
•	Управляемые учетные записи служб — представляют специальный тип доменной учетной записи пользователя для управляемых служб, которые сокращают приостановки обслуживания и устраняют другие проблемы путем автоматического управления паролями учетной записи и SPN (Service Principal Name, имя участника службы).
•	Управляемые виртуальные учетные записи — представляют специальный тип локальной учетной записи компьютера для управляемых служб, которые обеспечивают доступ к сети с идентификацией компьютера в окружении домена.
•	Обеспечение механизма аутентификации — улучшает процесс аутентификации, позволяя администраторам управлять доступом к ресурсам на основе входа пользователя в систему с применением метода входа на основании сертификата. Таким образом, администратор может определить, какой набор прав доступа есть у пользователя: при входе в систему с использованием смарт-карты применяется один набор прав доступа, при входе в систему без смарт-карты — другой набор прав доступа.
•	Оффлайн-соединение с доменом — позволяет администраторам предварительно настраивать учетные записи компьютера в домене, чтобы подготовить операционные системы к развертыванию. Это дает возможность компьютерам присоединяться к домену без необходимости связи с контроллером домена.
•	Модуль Active Directory для Windows PowerShell — предоставляет командлеты Windows PowerShell для управления Active Directory. Импортировать модуль Active Directory можно с помощью команды importmodule activedirectory, введенной в командной строке PowerShell.
170 ]
Глава 5. Разворачивание Active Director
II
Центр администрирования Active Directory — предоставляет ориентируемый на задачу интерфейс для управления Active Directoiy. В диспетчере серверов в меню Средства выберите команду Центр администрирования Active Directory.
Веб-службы Active Directory — представляют веб-интерфейс для доменов Active Directoiy.
Активация с помощью Active Directory - позволяет использовать AD для автоматической активации клиентов под управлением Windows 8/10 и Windows Server 2012/2016/2019. Любой клиент, подключенный к службе, активирован
Средства управления политикой на основе заявок - предоставляет доступ и гибкие политики аудита.
Создание индекса с задержкой - позволяет задерживать создание индекса в каталоге, пока не получен UpdateSchemaNow, или пока не перезагружен контроллер домена.
Расширенная детальная политика паролей - позволяет администраторам использовать Центр администрирования Active Directory Windows Server для создания и управления объектами настроек пароля (passwordsettings objects, PSO)
Расширенная Корзина - Позволяет администраторам восстанавливать удаленные объекты с использованием Центра администрирования Active Directoiy для Windows Server.
Групповые управляемые учетные записи службы - позволяет нескольким службам использовать одну управляемую учетную запись службы.
Ограниченное делегирование Kerberos по доменам - позволяет управляемым учетным записям службы действовать от имени пользователей в доменах и лесах.
Защита Kerberos - улучшает безопасность домена; позволяет присоединенному к домену клиенту и контроллеру домена связываться по защищенному каналу.
Внешнее подключение к домену - позволяет подключение компьютера к домену по Интернету.
Предупреждения относительных идентификаторов - добавляет предупреждения, поскольку глобальное пространство RID израсходовано. Добавляет мягкий потолок в 900 млн. RID, что предотвращает переопределение RID администратором.
Справочник системного администратора
•	Интеграция диспетчера серверов - позволяет выполнять все шаги, необходимые для разворачивания локальных и удаленных контроллеров домена.
•	Клонирование виртуального контроллера домена - позволяет безопасно развертывать виртуальные копии контроллеров домена. Также помогает поддерживать состояние контроллера домена.
•	Присоединение AD к Azure (Azure Active Directoiy Join) - предоставляет преимущества локальной Active Directory среды без сопутствующей сложности владения и управления. Устройства, поставляемые с Windows 10, могут быть включены в Azure AD и это позволяет компаниям без полноценного IT отдела управлять своими корпоративными ресурсами.
•	Управление привилегированным доступом (Privileged Access Management) - предназначен для управления лесом, группами безопасности и членством в группах. Microsoft йолагает, что если организации потребовался РАМ, то её Active Directoiy лес уже скомпрометирован. Поэтому при настройке РАМ создаётся новый AD лес. Он изолирован для работы с привилегированными учётными записями и, так как MIM его только что создал, чист от любых сторонних действий.
•	Microsoft Passport - предоставляет двухфакторную аутентификацию при работе с пользовательскими паролями. При использовании Microsoft Passport, IT администратор может больше не беспокоиться о смене паролей пользователей, так как всё равно нужен второй метод аутентификации.
5.4.	Структуры домена
Active Directory предоставляет логические и физические структуры для сетевых компонентов. Логические структуры помогают организовать объекты каталога и управляют сетевыми учетными записями и общими ресурсами. К логическим структурам относятся:
•	организационные единицы (подразделения) — подгруппа доменов, которая зеркально отображает бизнес-структуру или функциональную структуру предприятия;
•	домены — группа компьютеров, которые совместно используют общую базу данных каталога;
Глава 5. Разворачивание Active L,rectory
•	деревья домена — один или более доменов, разделяющих непрерывное пространство имен;
•	лес домена — одно или более деревьев, которые делятся общей информацией каталога.
Физические структуры служат для упрощения сетевых коммуникаций и установки физических границ вокруг сетевых ресурсов. Физические структуры, помогающие отображать физическую структуру сети следующие:
•	подсети — сетевая группа с определенным диапазоном IP-адресов и маской сети;
•	сайты — одна или более подсетей. Сайты используются для настройки доступа к каталогу и репликации.
5.4.1.	Домены
Домен Active Directoiy — это просто группа компьютеров, разделяющих общую базу данных. Имена доменов Active Directory должны быть уникальными. Например, у вас не может быть двух доменов example.com, но допустимо иметь родительский домен example.com и дочерние домены dev. example.com и sales.example.com. Если домен — это фрагмент частной сети, то имя, присвоенное новому домену, не должно конфликтовать с другими существующими доменными именами этой частной сети. Если домен — часть Интернета, то имя, присвоенное новому домену, не должно конфликтовать с другими существующими именами Интернета. Чтобы обеспечить уникальность имени в Интернете, нужно зарегистрировать родительское доменное имя перед его использованием. Домен можно зарегистрировать через любого регистратора доменных имен, например, reg.ru.
У каждого домена есть собственная политика безопасности и доверительные отношения с другими доменами. Также домены могут охватывать несколько физических расположений. Это означает, что домен может состоять из множества сайтов, а у этих сайтов может быть много подсетей, В базе данных каталога домена находятся объекты, определяющие учетные записи для пользователей, группы и компьютеров, а также совместно используемые ресурсы, такие как принтеры и папки.
Функции домена ограничены и контролируются функциональным уровнем (режимом работы) домена. Доступно несколько режимов работы домена:
•	Windows Server 2003 — поддерживаются контроллеры домена, работающие под управлением Windows 2003 и более поздних версий;
[ЧтГ
Справочник системного администратора
•	Windows Server 2008 — поддерживаются контроллеры домена под управлением Windows 2008 и более поздних версий;
•	Windows Server 2008 R2 — поддерживаются контроллеры домена под управлением Windows 2008 R2 и Windows Server 2012;
•	Windows Server 2012 — поддерживаются контроллеры домена, работающие только под управлением Windows Server 2012,2012 R2,2016,2019;
•	Windows Server 2012 R2 — поддерживаются контроллеры домена, работающие только под управлением Windows Server 2012 R2,2016,2019;
•	Windows Server 2016 — поддерживаются контроллеры домена, работающие только под управлением Windows Server 2016,2019.
Примечание. Операционная система Windows Server 2019 не имеет новых режимов работы леса или домена. Подробная информация доступна по адресу https://docs.microsoft. com/ru-ru/windows-server/identity/ad-ds/active-directory-functional-levels.
5.4.2.	Лес и дерево домена
У каждого домена Active Directory есть доменное имя DNS, например, ех-ample.com. Один или более доменов, разделяющих один общий каталог, называются лесом. Доменные имена в этом лесу могут быть последовательными или непоследовательными в иерархии имен DNS.
Когда у доменов последовательная структура имен, говорят, что они образуют дерево домена. Представим, что у корневого домена example.com есть два дочерних домена: sales.example.com и dev.example.com. Эти домены, в свою очередь, имеют поддомены. Все домены являются частью одного дерева, поскольку у них один и тот же корневой домен.
Получить доступ к доменным структурам можно с помощью оснастки Active Directory - домены и доверие (рис. 5.12). Данную оснастку можно вызвать в консоли управления Microsoft (Microsoft Management Console, ММС). Также можно запустить ее из меню Средства диспетчера серверов. В оснастке находятся отдельные записи для каждого корневого домена. На рис. 5.12 активный домен — example.com.
Глава 5. Разворачивание Active Directory
Рис. 5.12. Оснастка Active Directory - домены и доверие
Режимы работы леса/домена определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Они также определяют, какие операционные системы Windows Server можно запускать на контроллерах домена в домене или лесу. Однако режимы работы не влияют на то, какие операционные системы можно запускать на рабочих станциях и рядовых серверах, которые присоединены к домену или лесу.
При развертывании AD DS задайте для режимов работы домена и леса самое высокое значение, которое может поддерживать среда. Так вы сможете использовать максимальное количество функций AD DS. При развертывании нового леса будет предложено задать его режим работы, а затем задать режим работы домена. Для режима работы домена можно установить значение, превышающее значение режима работы леса. Однако для него нельзя задать значение, которое будет ниже значения режима работы леса. При наличии разношерстного парка серверов помните, что вы можете повысить режим работы домена/леса, например, до Windows Server 2016, но не сможете понизить его. Следовательно, в его состав уже не смогут входить контроллеры под управлением более старых версий Windows Server.
Повысить функциональный уровень домена можно с помощью следующих действий:
ПтГ
Справочник системного администратора
1.	Запустите оснастку Active Directory - домены и доверие. В дереве консоли щелкните правой кнопкой мыши по домену а затем выберите команду Изменение режима работы домена.
2.	В окне Повышение режима работы домена будет отображено текущее имя домена и его функциональный уровень.
3.	Для изменения функциональности домена выберите новый функциональный уровень домена из предоставленного списка, а затем нажмите кнопку Повысить.
4.	Нажмите кнопку ОК. Новый функциональный уровень домена будет реплицирован каждому контроллеру домена. Эта операция может занять некоторое время в большой организации.
Повысить функциональный уровень леса можно с помощью следующих действий:
1.	Откройте оснастку Active Directory — домены и доверие. В дереве консоли щелкните правой кнопкой мыши по узлу Active Directory — домены и доверие, а затем выберите команду Изменение режима работы леса.
2.	В окне Повышение режима работы леса будет отображено имя леса и текущий режим его работы.
3.	Для изменения режима работы леса выберите новый функциональный уровень леса и нажмите кнопку Повысить.
4.	Нажмите кнопку ОК. Новый режим работы леса будет реплицирован на каждый контроллер домена в лесу. В большой организации данная операция займет некоторое время.
5.4.3.	Организационные единицы (подразделения)
Организационные единицы (ОЕ), или подразделения, являются подгруппами в доменах, которые часто зеркально отражают функциональную или деловую структуру организации. Также можно представлять ОЕ, как логические контейнеры, в которые помещаются учетные записи, общие ресурсы и другие организационные единицы. Например, можно создать ОЕ с названием Sales, IT, Marketing для домена example.com. Позже можно развернуть эту схему, включив дочерние единицы.

Объекты, помещенные в ОЕ, могут прибыть только из родительского домена. Например, организационная единица, связанная с sales.example.com, может содержать объекты только для этого домена. Нельзя добавить объекты из dev.example.com в эти контейнеры, но можете создать отдельную ОЕ, чтобы зеркально отразить структуру sales.example.com.
Организационные подразделения полезны в организационных объектах для отражения деловой или функциональной структуры. Но это не единственная причина использовать ОЕ. Есть и другие причины.
•	Организационные единицы позволяют назначить групповые политики небольшому числу ресурсов домена без применения этих политик ко всему домену. Это помогает устанавливать и управлять групповыми политиками на соответствующем уровне в предприятии.
•	Организационные единицы создают небольшие, более управляемые представления объектов каталога в домене. Это помогает более эффективно управлять ресурсами.
•	Организационные единицы позволяют делегировать полномочия и легко управлять административным доступом к доменным ресурсам. Это помогает управлять объемом полномочий администратора в домене. Можно предоставить пользователю А административные полномочия для одной организационной единицы, а пользователю Б — для всех организационных единиц в домене.
Active Directory - пользователи и компьютеры
файл Действие Вид Справка
3 Пользователи и компыс Имя
example.com
Computers
i. Domain Controllers
Тип
builtinDomam
Контейнер
Подразделение
Описание
ForeignSecuntyPrincip... Контейнер
Managed Service Acco... Контейнер
Default container for upgraded computer accounts
Default container for domain controllers
Default container for security identifiers (SIDs) asso...
Default container for managed service accounts
Default container for upgraded user accounts
Рис. 5.13. Оснастка Пользователи и компьютеры Active Directory
Справочник системного администратора
В оснастке Пользователи и компьютеры Active Directory организационные единицы представлены в виде папок (рис. 5.13). Эта утилита выполнена в виде оснастки для ММС, ее также можно запустить из меню Средства диспетчера серверов.
5.4.4.	Сайты и подсети
Сайт — это группа компьютера в одной или более IP-подсети. Сайты используются для отображения физической структуры вашей сети. Отображение сайта независимо от логических структур домена, поэтому нет необходимости устанавливать связь между физической структурой сети и ее логической доменной структурой. С помощью Active Directoiy можно создавать множество сайтов в пределах одного домена или создать один сайт, который будет обслуживать несколько доменов. Диапазоны IP-адресов, используемые сайтом и пространством имен домена, также не связаны.
Можно подумать о подсети, как о группе сетевых адресов. В отличие от сайтов, где могут быть разные диапазоны IP-адресов, у подсетей есть только один определенный диапазон IP-адресов и сетевая маска. Имена подсетей выводятся в форме «сеть/битовая маска», например, 192.168.19.0/24. Здесь, адрес сети 192.168.19.9 и маска 255.255.255.0 комбинируются для создания имени подсети 192.168.19.0/24.
Компьютеры объединяются в сайты на основе их расположения в подсети или ряде подсетей. Если компьютеры в подсетях могут эффективно взаимодействовать друг с другом, говорят, что они хорошо соединены. Идеально, если сайты состоят из подсетей и компьютеров, которые хорошо соединены. Если подсети не являются хорошо соединенными, возможно, нужно установить несколько сайтов. Есть несколько преимуществ хорошего соединения.
•	Когда клиенты входят в домен, процесс аутентификации сначала ищет контроллеры домена, которые находятся в том же сайте, что и клиент. Это означает, что сначала используются локальные контроллеры домена, если это возможно, что в итоге локализует сетевой трафик и ускоряет процесс аутентификации.
•	Информация каталога тиражируется чаще в пределах сайта, чем между сайтами, что уменьшает сетевой трафик, вызванный репликацией, а также позволяет убедиться, что локальные контроллеры домена быстро получили актуальную информацию. Также можно использовать соединения сайта, чтобы настроить, как информация каталога будет реплицироваться между сайтами. Контроллер домена, выделенный для осуществления межсайтовой репликации, называется сервером-плацдармом
Глава 5. Разворачивание Active Directory
(bridgehead-сервером). Определяя сервер-плацдарм для обработки репликации между сайтами, администратор помещает основную нагрузку на определенный сервер, а не на любой доступный сервер сайта.
Доступ к сайтам и подсетям администратор получает через утилиту Active Directory — сайты и службы. Данная утилита — оснастка для ММС, и ее можно добавить к любой обновляемой консоли. Также можно запустить оснастку Active Directory — сайты и службы из меню Средства диспетчера серверов.
в* Active Directory — сайты и службы
Файл Действие Дид Справка Вя‘2
йй Active Directory — сай^ь имя
* Site5	* Default-First-Site-Name
j inter-Site Transports
Subnets
Размещение
Тип	Описание
Сайт
Контейнер...
Контейнер.»
Рис. 5.14. Оснастка Active Directory — сайты и службы
5.5.	Структура каталога
У Active Directory есть много компонентов, поскольку он основан на многих технологиях. Данные каталога сделаны доступными для пользователей и компьютеров через хранилища данных и глобальные каталоги. Несмотря на то, что задачи Active Directory наиболее влияют на хранилище данных, глобальные каталоги одинаково важны, потому что они используются во время входа в систему и для поиска информации. Фактически, если глобальный каталог недоступен, типичные пользователи не смогут войти в домен. Единственный способ изменить это поведение заключается в локальном кэшировании состава универсальной группы. У кэширования состава
[ 179 ]
Справочник системного администратора
универсальной группы есть преимущества и недостатки, которые мы рассмотрим чуть позже.
Администратор получает доступ и распределяет данные Active Directory с помощью протоколов доступа к каталогу и репликации. Протоколы доступа к каталогу позволяют клиентам связываться с компьютерами, на которых выполняются службы Active Directory. Репликация нужна, чтобы убедиться, что обновления данных отправлены контроллерам доменов. Не смотря на то что мульти-мастер репликации — основной метод тиражирования обновлений, некоторые изменения в данных должны быть обработаны только индивидуальными контроллерами домена, которые называются хозяевами операций (operation master). Одна из функций, которая также изменяет способ работы мульти-мастера репликации — Application Directory Partitions (разделы каталога приложений).
С помощью разделов каталога приложений администраторы предприятия (принадлежат к группе Администраторы предприятия) могут создавать разделы репликации в лесу доменов. Эти разделы — логические структуры, используемые для управления репликацией данных в лесу доменов. Например, можно создать раздел, чтобы строго управлять репликацией информации DNS в домене, предотвращая репликацию информации DNS на другие системы.
Раздел каталога приложения может появиться как дочерний элемент домена, дочерний элемент другого раздела приложения или новое дерево в лесу доменов. Копии раздела каталога приложения можно сделать доступными на любом контроллере домена Active Directory, работающем под управлением Windows Server 2012 (или более поздних версий), в том числе серверы глобального каталога. Несмотря на то, что разделы каталога приложения полезны в больших доменах и лесах, они добавляют издержки с точки зрения планирования, администрирования и обслуживания.
5.5.1.	Хранилище данных
Хранилище данных содержит информацию об объектах, таких как учетные записи, совместно используемые ресурсы, организационные единицы и групповые политики. Другое название хранилища данных — каталог, что относится к самому Active Directory. На контроллерах домена хранится файл Ntds.dit (обычно находится в папке C:\Windows\NTDS). Расположение этого файла устанавливается при установке Active Directory, он должен находиться на системном диске с файловой системой NTFS, отформати
Глава 5. Разворачивание Active Directoi
а
рованном для использования с Windows Server 2012 или более поздними версиями. Также можно хранить данные каталога отдельно от основного хранилища данных. Так лучше делать для групповых политик, сценариев и других типов публичной информации, которая хранится на общем системном томе (SYSVOL).
Предоставление общего доступа к информации каталога называется публикацией. Например, можно опубликовать информацию о принтере путем предоставления к нему общего доступа по сети. Точно также публикуется информация о папке — путем предоставления к ней общего доступа.
Контроллеры домена тиражируют большинство изменений в хранилище данных способом мульти-мастера. Администраторы сетей небольшого и среднего размера редко управляют репликацией хранилища данных. Репликация обрабатывается автоматически, но можно настроить ее, чтобы она соответствовала потребностям крупных организаций или организаций с особыми требованиями.
Не все данные каталога реплицируются. Вместо этого реплицируется только публичная информация, попадающая в одну из трех категорий:
1.	Данные домена — содержит информацию об объектах домена: учетные записи, общие ресурсы, организационные единицы и групповые политики;
2.	Конфигурационные данные — описывают топологию каталога. Содержат список всех доменов, деревьев домена и леса, также расположений контроллеров домена и глобальных серверов каталога;
3.	Данные схемы — описывают все объекты и типы данных, которые могут храниться в каталоге. Схема по умолчанию, предоставляемая с Windows Server, описывает объекты учетных записей, объекты общих ресурсов и др. Можно расширить схему по умолчанию, определяя новые объекты и атрибуты или добавляя атрибуты в существующие объекты.
5.5.2.	Глобальные каталоги
Когда состав универсальной группы не кэшируется локально, глобальные каталоги включают сетевой вход в систему, предоставляя информацию о составе универсальной группы при инициировании процесса входа в систему. Также глобальные каталоги включают поиск по каталогу по всем доменам леса. Контроллер домена, определяемый как глобальный каталог, хранит в
Справочник системного администратора
каталоге полную копию всех объектов для его домена и частичную копию (partial replica) для всех других доменов в лесу.
По умолчанию первый установленный в домене контроллер назначается глобальным каталогом. Если в домене есть только один контроллер домена, то контроллер домена и глобальный каталог — один и тот же сервер. В противном случае глобальный каталог находится на специально настроенном контроллере домена. Также можно добавить глобальные каталоги в домен, чтобы улучшить время отклика при входе в систему и поиске информации. Рекомендуется иметь один глобальный каталог для сайта в пределах домена.
Контроллеры домена, размещающие глобальный каталог, должны быть хорошо соединены с контроллерами домена, действующими как владельцы инфраструктуры. Роль владельца инфраструктуры (infrastructure master) — одна из пяти операций, которую можно назначить контроллеру домена. В домене мастер инфраструктуры отвечает за обновление ссылок на объект. Хозяин инфраструктуры делает это, сравнивая ее данные с данными из глобального каталога. Если хозяин инфраструктуры находит устаревшие данные, он запрашивает обновленные данные из глобального каталога. После этого мастер инфраструктуры реплицирует изменения другим контроллерам домена.
Если в домене находится только один контроллер, можно назначить роль мастера инфраструктуры и роль глобального каталога на один и тот же сервер. Когда в домене два или больше контроллера, глобальный каталог и хозяин инфраструктуры должны располагаться на отдельных контроллерах домена. Если это не так, тогда хозяин инфраструктуры не сможет найти устаревшие данные, и больше никогда не будет реплицировать изменения. Единственное исключение — ситуация, когда все контроллеры домена содержат глобальный каталог. В этом случае нет разницы, какой из них является мастером инфраструктуры.
Одна из основных причин сконфигурировать дополнительные глобальные каталоги в домене заключается в том, чтобы убедиться в доступности каталога при входе в систему и при поиске по каталогу. Снова, если у домена есть только один глобальный каталог, который не доступен, и нет локального кэширования состава универсальных групп, обычные пользователи не смогут войти в систему, а те, которые уже вошли, не смогут произвести поиск по каталогу. В этом случае единственные пользователи, которые могут войти в домен (при недоступности глобального каталога) — члены группы Администраторы домена.
Глава 5. Разворачивание Active Director у
Поиск в глобальном каталоге очень эффективен. Каталог содержит информацию обо всех объектах во всех доменах в лесу. Это позволяет разрешать поисковые запросы в локальном домене, а не в домене другой части сети. Локальное разрешение запросов уменьшает сетевую нагрузку и в большинстве случаев гарантирует более быстрые ответы на поисковые запросы.
5.5.3.	Роли FSMO (Flexible Single-Master Operations)
Роли хозяина операций выполняют задачи, решение которых способом мульти-мастера непрактично. Определено пять ролей операций и можно присвоить эти роли одному или нескольким контроллерам домена. Несмотря на то, что определенные роли могут быть присвоены только один раз в лесу, некоторые другие роли должны быть определены один раз в каждом домене.
У каждого леса Active Directory должны быть следующие роли.
•	Владелец схемы (Schema Master) — контролирует обновления и модификации схемы каталога. Для обновления схемы каталога нужно получить доступ к владельцу схемы. Чтобы определить, какой сервер является текущим владельцем схемы в домене, откройте окно командной строки и введите команду dsquery server -hasfsmo schema.
•	Владелец доменных имен (Domain Naming Master) — контролирует добавление или удаление доменов в лесу. Для добавления или удаления доменов нужно получить доступ к владельцу доменных имен. Для определения, какой сервер является текущим хозяином доменных имен, откройте окно командной строки и введите команду dsquery server -hasfsmo name.
Эти роли должны быть уникальными в лесу. То есть можно назначить лишь одного владельца схемы и одного владельца доменных имен в лесу.
У каждого домена Active Directory должны быть следующие роли.
•	Владелец относительных идентификаторов (Relative ID master) — распределяет относительные идентификаторы контроллерам домена. Независимо от того, создается ли объект пользователя, группы или компьютера, контроллеры домена присваивают этому объекту уникальный идентификатор безопасности. Идентификатор безопасности состоит из префикса идентификатора безопасности домена и уникального относительного идентификатора, назначенного владельцем относительных идентификаторов. Для определения, какой сервер является текущим
[ 183
Справочник системного администратора
владельцем относительных идентификаторов для домена, отройте окно командной строки и введите команду dsquery server -hasfsmo rid.
•	Эмулятор основного контроллера домена (PDC emulator) — при использовании операции смешанного режима эмулятор PDC работает, как Windows NT PDC. Его задача — аутентификация входов Windows NT, изменение паролей и репликация обновлений на BDC. Эмулятор PDC является сервером времени по умолчанию и как таковой осуществляет синхронизацию времени в домене. Чтобы определить, какой сервер является текущим эмулятором PDC, откройте окно командной строки и введите команду dsquery server -hasfsmo pdc.
•	Владелец инфраструктуры домена (Infrastructure master) — обновляет ссылки объектов путем сравнения их данных каталога с глобальным каталогом. Если данные устарели, владелец инфраструктуры запрашивает обновленные данные из глобального каталога и затем реплицирует изменения на другие контроллеры домена. Чтобы определить, какой сервер является владельцем инфраструктуры, откройте окно командной строки и выполните команду dsquery сервер -hasfsmo infr.
Эти роли должны быть уникальными в пределах домена. Это означает, что в пределах домена можно назначить только одного владельца относительных идентификаторов, один PDC-эмулятор и одного владельца инфраструктуры.
Роли FSMO обычно назначаются автоматически, но при желании можно назначить их вручную. При установке новой сети для выполнения всех пяти FSMO-ролей назначается первый контроллер домена. Если позже будет создан дочерний домен или корневой домен в новом дереве, автоматически будет назначен первый контроллер домена нового домена для выполнения FSMO-ролей. В новом лесу контроллер домена назначается для выполнения всех FSMO-ролей. Если новый домен находится в том же лесу, назначаются следующие роли: владелец относительных ID, PDC-эмулятор и владелец инфраструктуры. Роли хозяина схемы и хозяина доменных имен остаются в первом домене леса.
Когда в домене только один контроллер домена, то этот компьютер обрабатывает все FSMO-роли. Если вы работаете с единственным сайтом, назначение ролей FSMO по умолчанию является вполне приемлемым. Когда же добавите новые контроллеры домена и новые домены, возможно, понадобится распределить FSMO-роли на другие контроллеры домена.
Если в домене есть два или больше контроллера, можно настроить два владельца операций. Здесь один контроллер домена можно сделать владельцем операций, а второй сервер сделать резервным. Резервный владелец one-
Глава 5. Разворачивание Active Directory
раций будет использоваться, когда что-то случится с основным сервером. Убедитесь, что контроллеры домена — прямые партнеры по репликации и хорошо соединены.
Когда доменная структура вырастет, можно разделить роли между различными контроллерами домена. Это повысит скорость отклика владельцев операций. Обратите внимание на текущие обязанности контроллера домена, который планируется использовать.
5.6.	Корзина Active Directory
Корзина Active Directory добавляет легкую в использовании функцию восстановления для объектов Active Directory. При включении этой функции все атрибуты удаленного объекта сохраняются, позволяя восстановить объект в том же состоянии, что и до удаления. Также можно восстановить объекты из Корзины без инициирования аутентичного восстановления (authoritative restore). Это существенно отличается от ранее доступного метода, который использовал авторитетное восстановление для восстановления удаленных объектов из контейнера Deleted Objects. Ранее, при удалении объекта большая часть нессылочных атрибутов очищалась, а все ссылочные атрибуты удалялись. В результате даже если получалось восстановить удаленный объект, то нельзя было восстановить его состояние.
По умолчанию Корзина выключена и для ее активации ее необходимо включить. Помните, что после включении Корзины вы больше не сможете ее отключить.
Для включения Корзины выполните следующие действия:
1.	Из меню Средства выберите команду Центр администрирования Active Directory.
2.	Выберите ваш домен из списка слева.
3.	На панели Задачи (справа) выберите команду Включить корзину (рис. 5.15)
4.	В появившемся окне нажмите ОК
5.	В следующем окне внимательно прочитайте предупреждение и снова нажмите ОК.
6.	Нажмите кнопку Обновить в Центре администрирования Active Directory. Команда Включить корзину станет недоступной - это свидетельствует о том, что корзина включена.
[ 125 '
Справочник системного администратора
Рис. 5.15. Центр администрирования Active Directory
Центр администрирования Active Directory
X
Обновите центр администрирования Active Directory прямо сейчас
Доменные службы Active Directory приступили к включению корзины для этого леса. Корзина не будет работать надежна пока все контроллеры доменов в лесу не реплицируют изменение конфигурации этой корзины.
ОК
Рис. 5.16. Предупреждение о включении корзины
Теперь при удалении объекта Active Directory он будет переведен в состояние «логически удален» и перемещен в контейнер Deleted Objects (рис. 5.17). Также изменится его имя. Удаленный объект остается в контейнере Deleted Objects определенный период времени, который по умолчанию равен 180 дней.
Для восстановления ранее удаленного объекта выполните действия:
1.	Перейдите в контейнер Deleted Object
2.	Выберите объект, щелкнув на нем.
3.	На панели справа выберите команду Восстановить (рис. 5.18).

Глава 5. Разворачивание Active Directory
° example (локальный) *
* (^) I Угчмваение Справка
U Центр админист... <
example (локальный) 04)
Задачи
Е =
S Обзор
(локальиый)
М Builtm	butltinOom
„ 8 Deleted Objects Соадатъ
Si Динамический контроль.. ► M Проверка подл нности ► fi Глобальный поиск
М Computers
Контейнер Default container for upgr...
Кони-iwp	(M*# < <v»rз#ич tot tleM.
fi Domain Controllers	Подраздел... Default container for don»...
Ш ForeignSecurityPMKipais	Контейнер	Default container for secur..
 Infrastructure
M Keys
Контейнер	Default container tor key о ,
M LOttAncTound
lostAndFou- Default container for orph
Deleted Objects
Удалить
Искать а этом узле
Свойства
example (локальный)
Смена кон’рол лера домена
Повышение режима работы...
Повыигенме режима работы..
Включить корзину..
Создать
Класс объекта Контейнер
Описание- Default согЛаитег for deleted objects
Изменено: 03 O42C2D 15:48
Сводка
ЖУРНАЛ WINDOWS POWERSHELL
Рис. 5.17. Контейнер Deleted Objects
Команда Восстановить в восстанавливает объект в альтернативный контейнер в пределах исходного домена или в другой домен в пределах текущего леса.
В этой главе было показано, как развернуть Active Directory и были объяснены некоторые основные понятия, без понимания которых невозможна работа с AD. В следующей главе мы рассмотрим основы администрирования Active Directory.
example (локальный). » Deleted Objects
 f Центр админист.. < Deleted Objects (1)
E
3 Обзор
jewted Objects
М Динамический контроль... >
Печное имя
Последний из Гел
WW/t59~ Ch-users» .. Педюоеэт .
Si  роверка подлинности
Глобальный поиск
Й
test (отключено)
Восстановить
Восстановить в...
Найти родите» ьский элемент
Свойства
Deleted Objects
Создзть
Усллип,
Искать в этом узле
Свсйстьз
test (отключено)
Вход пельзева'елгг Эл. почта: Изменено.
Описание
jest
03.04-2020 19:59
СреклеГстмж	«Некогда»
Время последнего входа: <не задано*
Сводка
ЖУРНАЛ WINDOWS POWERSHELL
Рис. 5.18. Восстановление удаленного объекта
Глава 6.
Основы
администрирования AD
Глава 6. Основы администрирования AD
Базовое администрирование Active Directory фокусируется на ключевых задачах доменных служб Active Directory: создание учетной записи компьютера или присоединение компьютера к домену. В этой главе будут рассмотрены средства, которые используются для управления Active Directory, а также методы для управления компьютерами, контроллерами доменов и организационными подразделениями. В следующей главе мы поговорим об управлении пользователями
6.1.	Утилиты управления Active Directory
Для управления Active Directory используются следующие основные утилиты:
•	Центр администрирования Active Directory — для осуществления задач управления;
•	Active Directory - домены и доверие — для работы с доменами, деревьями доменов и лесами доменов;
•	Модель Active Directory для Windows PowerShell — для управления Active Directory при работе с Windows PowerShell;
•	Active Directory — сайты и службы — для управления сайтами и подсетями;
189 <
Справочник системного администратора
•	Пользователи и компьютеры Active Directory — для управления пользователями, группами, компьютерами и организационными подразделениями;
•	Управление групповой политикой — для управления способом использования групповой политики в организации. Предоставляет доступ к RSoP для моделирования и журналирования.
Запустить эти средства администрирования Active Directory можно из меню Средства диспетчера серверов или добавить их в любую консоль ММС. Разумеется, Active Directory должен быть развернут, иначе эти инструменты будут недоступны
С компонентом Средства удаленного администрирования сервера устанавливается множество утилит поддержки Active Directory. В табл. 6.1 представлен список наиболее полезных утилит поддержки для настройки, управления и решения проблем Active Directory.
Таблица 6.1. Утилиты поддержки Active Directory
Утилита	Имя исполнимого файла	Описание
Редактирование ADSI (ADSI Edit)	Adsiedit.msc	Открывает и редактирует Active Directory Services Interface для контейнеров домена, схемы и конфигурации
Active Directory Administration Tool	Ldp.exe	Осуществляет операции LDAP на Active Directory
Утилита отображения разрешений (список ACL) объекта доменных служб AD DS (Directory Services Access Control Lists Utility)	Dsacls.exe	Управляет списками контроля доступом (ACL) для объектов в Active Directory
Г	1
L 190 h.____4
Глава 6. Основы администрирования AD
Управление пространствами имен, серверами и клиентами DFS (Distributed File System Utility)	Dfsutil.exe	Управляет распределенной файловой системой (DFS) и отображает информацию DFS
DNS Server Troubleshooting Tool	Dnscmd.exe	Управляет свойствами DNS-серверов, зонами и записями ресурсов
Replication Diagnostics Tool	Repadmin.exe	Управляет и контролирует репликацию с использованием командной строки
Windows Domain Manager	Netdom	Позволяет управлять доменами и доверительными отношениями из командной строки
6.1.1. Оснастка Пользователи и компьютеры Active Directory
Данная оснастка является одной из основных утилит администратора, которая используется для управления каталогом. С ее помощью можно управлять всеми задачами, связанными с пользователем, группой и компьютером, а также организационными утилитами.
Запустить оснастку можно через меню Средства диспетчера серверов. Команда называется Пользователи и компьютеры Active Directory. Обратите внимание, что заголовок самой оснастки немного отличается от названия команды, использующейся для ее вызова - Active Directory - пользователи и компьютеры (рис. 6.1).
В оснастке Active Directory - пользователи и компьютеры отображается стандартный набор папок:
•	Builtin — список встроенных пользователей и групп;
•	Computers — контейнер по умолчанию для учетных записей компьютера;
•	Domain Controllers — контейнер по умолчанию для контроллеров домена;

Справочник системного администратора
Active Directory - пользователи и компьютеры
файл Действие £ид Справка
В fflSi J шт« *
3 Пользователи и компью Имя
’ Сбхраненные запрос i ^onsAdmins * .fe example com
Builtin
2. Computers
Domain Controllers ForeignSecuntyPrin< Managed Service At-Users
Гмп
Группа безопасности - -Группа безопасности - Г... Группа безопасности - Г.-Пользователь
Группа безопасности - Г... Группа безопасности - Г.,
J&DnsUpdateProxy
Jft Protected Users ^Администратор
* ^Администраторы домена h ^Администраторы основного уровня
^Администраторы основного у ров ня п... Г руппа безопасности - У...
Администраторы предприятия	Группа безопасности - У...
^Администраторы схемы	Группа безопасности - У.„
Владельцы-создатели групповой поли.. Группа безопасности - Г_ % Гости домена ?.;ГОСТЬ %Группа с запрещением репликации п...
Группа с разрешением репликации п...
Издатели сертификатов
^Клонируемые контроллеры домена ^Компьютеры домена
^АКпмтполлепы ллмеад_______________
Группа безопасности ~ Г... Пользователь
Группа безопасности - -Группа безопасности - -Группа безопасности ~ -Группа безопасности - Г„ Группа безопасности - С... Гпуппа бегопаснпст* - Г~.
Описание
Группа адмикистр... DNS-клиенты, кот_.
Участникам этой г.„ Встроенная учетн_. Назначенные адм.. Члены этой групп. Члены этой групп-Назначенные адм... Назначенные адм.. Члены этой групп-Все гости домена Встроенная учетн.. Пароли членов да... Пароли членов да... Члены этой групп-Члены этой групп-Все рабочие стан-ЯсЕКРНд>одлепн1..._
Рис. 6.1. Оснастка для управления пользователями и компьютерами
•	ForeignSecurityPrincipals — содержит информацию по объектам из доверенного внешнего домена. Обычно эти объекты создаются, когда объекты из внешнего домена добавлены в группу текущего домена;
•	Managed Service Accounts — контейнер по умолчанию для управляемых учетных записей служб;
•	Users — контейнер по умолчанию для пользователей.
Оснастка Active Directory - пользователи и компьютеры обладает расширенными параметрами, которые по умолчанию не отображаются. Для получения доступа к этим опциям в меню Вид выберите команду Дополнительные компоненты. После этого будут доступны следующие дополнительные папки:
•	LostAndFound — содержит объекты, которые потеряли родителя. Такие объекты можно удалить или восстановить;
•	NTDS Quotas — содержит данные квотирования службы каталога;
•	Program Data — содержит сохраненные в Active Directory данные для приложений Microsoft;
•	System — содержит встроенные системные параметры;
•	TPM Devices — выводит устройства с сохраненной в Active Directory информацией владельца TPM (Trusted Platform Module).

Глава 6. Основы администрирования AD
По умолчанию оснастка подсоединяется к локальному домену и к первому контроллеру домена, который ответит на запрос. Можно работать с любым доменом леса, при условии, что есть соответствующие правами доступа. Для смены домена из меню Действия нужно выбрать команду Сменить домен.
В оснастке Active Directory - пользователи и компьютеры есть встроенная функция поиска, которую можно использовать для нахождения учетных записей, совместно используемых ресурсов и других объектов каталога. Можно легко произвести поиск по текущему домену, определенному домену или всему каталогу. Для активации функции поиска выполните команду меню Действия, Найти. Далее (рис. 6.2) выберите, что нужно найти:
•	Пользой., контакты и группы — поиск учетных записей пользователей и групп, а также контактов, сохраненный в каталоге;
•	Компьютеры — поиск учетных записей компьютеров по типу, имени и владельцу;
•	Принтеры — поиск принтеров по имени, модели и функциям;
•	Общие папки — поиск общих папок по имени или ключевым словам;
•	Организационные подразделения — поиск организационных подразделений по имени;
•	Пользовательский поиск — расширенный поиск или LDAP-запрос;
•	Общие запросы — быстрый поиск по именам учетных записей, описаниям учетных записей, отключенным учетным записям, паролям и дням с момента последнего входа в систему.
~ Поиск: Пользов., контакты и группы	—	□ X
Файл Правка £ид
Найти Пользов.. контакты и груг v Еде example.com	v Q630p.
Пользов. контакты и группы Дополнительно
.---------------------------------------------1	[ НеДти
Имя:	J_____________ ___________ ___________________I	--------------
।---------------------------------------------1	С 1хановить
Описание:	|
Очистить все
Рис. 6.2. Что нужно найти
193
Справочник системного администратора
6.1.2.	Центр администрирования Active Directory
Центр администрирования Active Directory предоставляет ориентированный на задачу интерфейс для управления Active Directory (рис. 6.3). Для запуска этой утилиты выберите соответствующую команду из меню Средства диспетчера серверов. Эту утилиту можно использовать для выполнения множества задач, в том числе:
•	подключения к одному или нескольким доменам;
•	создания и управления учетными записями пользователей, групп и организационными подразделениями;
•	создания и управления объектов параметров паролей;
•	повышения режима работы леса и домена;
•	восстановления удаленных объектов из корзины Active Directory.
Рис. 6.3. Центр администрирования Active Directory
Центр администрирования Active Directory по умолчанию устанавливается в Windows Server 2012 - 2019, а на клиентских компьютерах эта программа доступна после установки компонента Средства удаленного администрирования сервера (RSAT, Remote Server Administration Tools). Эта утилита использует Windows PowerShell для осуществления административных задач и основана на Microsoft .NET Framework. Оба этих компонента должны быть установлены и правильно настроены, иначе нельзя будет использовать Центр администрирования Active Directory.
.194 J
Глава 6. Основы администрирования AD
В Центре администрирования Active Directory по умолчанию для администрирования открыт локальный домен. Если нужно работать с другим доменом, в меню Управление выберите команду Добавить узлы перехода. В окне Добавление узлов выберите домен, с которым нужно работать, и нажмите кнопку ОК. После этого выберите домен, щелкнув по нему на левой панели.
По умолчанию утилита подключается к первому контроллеру домену, ответившему на запрос. Чтобы соединиться с определенным контроллером домена, щелкните правой кнопкой мыши по имени домена на панели слева и выберите команду Смена контроллера домена.
Подобно утилите Active Directory - пользователи и компьютеры, Центр администрирования Active Directory имеет встроенные функции, которые можно использовать для поиска объектов каталога. Основной поисковый фильтр, находящийся на левой панели, можно использовать для выбора контейнера каталога.
Поисковый фильтр поможет быстро найти объекты уровня контейнера в пределах домена или дочернего организационного подразделения. После выбора узла домена на панели слева можно использовать фильтр, чтобы быстро найти организационное подразделение высшего уровня или встроенные контейнеры, которые начинаются с введенных в фильтр букв.
6.2. Управление учетными записями компьютера
Учетные записи компьютеров хранятся в Active Directory в виде объектов. Учетные записи используются для контроля доступа к сети и ее ресурсам. Администратор может добавить учетные записи компьютера в стандартные контейнеры, отображенные в оснастке Active Directory - пользователи и компьютеры. Как правило, учетные записи компьютеров хранятся в контейнере Computers, контроллеров домена - в Domain Controllers. При желании вы можете создать любые другие организационные подразделения.
6.2.1.	Создание учетной записи компьютера
Создать учетную запись компьютера можно с помощью любого инструмента - как с помощью Центра администрирования Active Directory, так и с помощью оснастки Active Directory - пользователи и компьютеры.
Справочник системного администратора
В первом случае щелкните правой кнопкой мыши на контейнере, в который нужно поместить учетную запись компьютера, далее выберите команду Создать, Компьютер. Это откроет окно Создать Компьютер, показанное на рис. 6.4.
Рис. 6.4. Создание учетной записи компьютера с помощью Центра администрирования AD
В оснастке Active Directory - пользователи и компьютеры щелкните правой кнопкой мыши по контейнеру, в который нужно поместить учетную запись компьютера, затем выберите команду меню Создать, Компьютер. Будет отображено окно Новый объект - Компьютер, изображенное на рис. 6.5. Очевидно, что при использовании Центра администрирования Active Directory у вас будет больше возможностей при создании учетной записи компьютера - вы сможете заполнить больше полей с информацией о создаваемом объекте. Но нужно ли вам все это? Обычно возможностей оснастки Active Directory - пользователи и компьютеры вполне достаточно:
1.	Введите имя компьютера.
2.	По умолчанию только члены группы Администраторы домена могут присоединить этот компьютер к домену. Чтобы разрешить другому пользователю или группе присоединять компьютер к домену, нажмите кнопку Изменить, а затем выберите учетную запись пользователя или группы в окне Выбор: «Пользователь» или «Группа».
196
Глава 6. Основы администрирования AD
Новый объект - Компьютер	X
• Создать в: example.com/Computers
Инд компьютера:
|~ admlrj
Имя компьютера (пред-Windows 2000):
рЪмт
Присоединить к домену этот компьютер могут пользователь или группа пользователей, указанные ниже.
Имя пользователя или группы:
| По умолчанию: администраторы домена	' Изменить...
| | Назначить учетной записи статус пред-Windows 2000 компьютера
ОК_____ Отмена Справка
Рис. 6.5. Создание учетной записи компьютера посредством оснастки Active Directory - пользователи и компьютеры
3.	Если эта учетная запись будет использоваться со старыми операционными системами, отметьте флажок Назначить учетной записи статус пред-Windows 2000 компьютера.
4.	Если службы развертывания Windows не установлены, нажмите кнопку ОК, чтобы создать учетную запись компьютера. В противном случае нажмите кнопку Далее дважды, а затем — кнопку Готово.
После создания учетной записи в оснастке Active Directory - пользователи и компьютеры нужно пометить учетную запись, как защищенную. Защищенные учетные записи не могут быть удалены до тех пор, пока предварительно не будет сброшен флаг защиты.
Для защиты учетной записи компьютера выполните следующие действия:
1.	Убедитесь, что в меню Вид оснастки включен режим Дополнительные компоненты.
2.	Дважды щелкните на учетной записи компьютера, чтобы открыть окно Свойства.
3.	На вкладке Объект установите флажок Защитить объект от случайного удаления, а затем нажмите кнопку ОК.
[ 197 }
Справочник системного администратора
Свойства: admin	? X
Входящие звонки Редактор атрибутов Восстановление BrtLocker Общие Операционная система Член групп Делегирование
Репликация паролей Размещение Управляется Объект Безопасность
Каноническое имя объекта
I example. com/Computers/admin
Класс объекта Компьютер
Создан.	08 04 202016.19.50
Изменен:	08.04 20201619Ы
Номера последовательных обновлений (USN):
Текущий:	41058
Исходный	41054
[^Защитить объект от случайного удаления)
ОК ] Отмена Применить Справка
Рис. 6.6. Защита от случайного удаления
6.2.2.	Удаление учетной записи компьютера
Если учетная запись компьютера больше не нужна, ее можно удалить из Active Directory. Вместо удаления можно временно отключить учетную запись и включить ее позже, когда она снова понадобится.
Чтобы удалить, отключить или снова включить учетную запись компьютера, выполните следующие действия:
1.	Запустите оснастку Active Directory - пользователи и компьютеры или Центр администрирования Active Directory. В дереве консоли выберите контейнер, в котором размещена учетная запись компьютера.
2.	Щелкните правой кнопкой мыши по учетной записи компьютера и затем выберите одну из следующих команд:
» Удалить — удаление учетной записи. Нажмите кнопку Да для подтверждения удаления;

Глава 6. Основы администрирования AD
» Отключить — временное отключение учетной записи. Затем нажмите кнопку Да для подтверждения действия. Красный кружочек с крестиком внутри свидетельствует о том, что учетная запись отключена;
» Включить — включает учетную запись, после чего ее можно снова использовать.
Если учетная запись защищена, нужно сбросить флаг защиты перед ее удалением. Дважды щелкните на учетной записи компьютера для отображения окна Свойства, затем выключите параметр Защитить объект от случайного удаления и нажмите кнопку ОК. При использовании оснастки Active Directory - пользователи и компьютеры этот параметр находится на вкладке Объект окна Свойства. При использовании Центра администрирования Active Directory этот параметр находится на панели Компьютер.
6.2.3.	Сброс заблокированных учетных записей
Учетные записей компьютера имеют пароли, точно так же как и учетные записи пользователей. В отличие от учетных записей пользователей, пароли учетных записей компьютера управляются и обслуживаются автоматически. Для этого автоматического управления в домене хранится пароль учетной записи компьютера, который меняется каждые 30 дней (по умолчанию), а также пароль безопасного канала для установки безопасной связи с контроллерами домена. Пароль безопасного канала также обновляется каждые 30 дней. Оба пароля должны синхронизироваться. Если эти пароли не будут синхронизированы, то компьютер не сможет войти в домен, а для службы Netlogon будет зарегистрировано сообщение об ошибке аутентификации с идентификатором 3210 или 5722.
Если это произошло, необходимо сбросить пароль учетной записи компьютера. Один из способов сделать это — щелкнуть правой кнопкой мыши на учетной записи компьютера в окне Active Directory - пользователи и компьютеры и выбрать команду Переустановить учетную запись. После этого нужно удалить компьютер из домена (сделав его членом рабочей группы или другого домена), а затем снова подключить компьютер к домену.
6.2.4.	Перемещение учетных записей компьютера
Как правило, учетные записи компьютера помещаются в контейнеры Computers или Domain Controllers или же в контейнеры пользовательских

Справочник системного администратора
организационных подразделений. Переместить учетную запись в другой компьютер можно так: выберите компьютер в оснастке Active Directory - пользователи и компьютеры, а затем переместите его в другое место. В Центре администрирования Active Directory переместить пользователей нельзя.
Можно также использовать следующий метод для перемещения учетной записи компьютера при любом активном инструменте:
1.	В дереве консоли выберите контейнер, в котором расположена учетная запись компьютера.
2.	Щелкните правой кнопкой мыши и выберите команду Переместить. Будет отображено одноименное окно (рис. 6.7).
3.	Выберите контейнер, в который нужно переместить компьютер. Перейдите в подконтейнер или дочернее организационное подразделение. Нажмите кнопку ОК.
Переместить
Переместить объект в контейнер:
example
ф	Builtn
Й	Computers
u	Domain Controllers
ЕВ	ForeignSecurityPrincipals
ф	Keys
Й	LostAndFound
ffi	Managed Service Accounts
FB	NTDS Quotas
Program Data
Ф	System
ffi	TPM Devices
OK | Отмена
Рис. 6.7. Окно перемещения учетной записи компьютера
6.2.5.	Присоединение компьютера к домену
Компьютер, присоединенный к домену или рабочей группе, может войти и получить доступ к сети. Для начала убедитесь, что сетевые компоненты надлежащим образом установлены на вашем компьютере. Они должны быть установлены во время инсталляции операционной системы. Перед подклю

Глава 6. Основы администрирования AD
чением компьютера к домену убедитесь, что протокол TCP/IP, а также параметры DNS и DHCP настроены надлежащим образом (см. гл. 15).
Операционная система Windows Server автоматически предоставляет право Добавление рабочих станций к домену неявной группе Прошедшие проверку. Это означает, что любой пользователь, который регистрируется в домене и проходит аутентификацию, может добавить рабочие станции в домен без необходимых полномочий администратора. Однако, из соображений безопасности, количество рабочих станций, которые аутентифицированный пользователь может добавить в домен, ограничено десятью. Если пользователь превысит этот предел, он получит сообщение об ошибке.
Во время установки операционной системы, вероятнее всего, уже было настроено сетевое соединение или же ранее компьютер был соединен с доменом или рабочей группой. Если это так, можно соединить компьютер с новым доменом или рабочей группой. Для этого используется вызовите окно Система, напротив имени компьютера нажмите Изменить параметры. В появившемся окне вы можете нажать кнопку Изменить для присоединения к другому домену (рис. 6.8,6.9).
Пепел управления —
I Локальный «jj Свойства, ь Вер серверы "1> ADDS * DNS
Панель управления
Файловые слуэ|
Windows Server 2019
Microsoft
vwnpHcom
Чтобы переименовать компьмпвр или
I параметры рабочей группы
ИН-LGOGBKFFK
^-LGOGBKH^eampfeccm
yampie.com
AmHMUHBWhtlows Эьпод-ы «д.. /слэ»*.в аицгоиО-о <?
(менять параметры
Налрилер- та-сьрмр произволе >-венного отдела пли *€*омр Оу кг аптерии*
WN-LGOGBECFFJS .вквтрй сот
И-разрядям операционная система. процессор хо4 |еро и сенсорный ввод нежтупны для ятого херена
ие)=«г СогеПМ' .5-72000 CPU О ZSOGHz 2.71 GHz
ЙЗГБ
Рис. 6.8. Свойства системы
Примечание. Контроллер домена нельзя присоединить к другому домену. Его нужно сначала понизить до уровня обычного сервера, уже только потом присоединять к другому домену. Далее будет показано, как это сделать.
[ 201
Справочник системного администратора
Изменение имени компьютера или домена	X
Вы можете изменить имя и принадлежность этого компьютера Изменения могут повлиять на доступ к сетевым ресурсам
Имя компьютера:
.DESKTOP-IU66CN2
Полное имя компьютера.
DESKTOP-IU66CN2
Дополнительно.
Является членом
ф домена
example.com
I__________________________________________J
о рабочей группы:
WORKGROUP
ОК____] Отмена
Рис. 6.9. Изменение имени компьютера или домена
Если имя не удалось изменить, будет отображено соответствующее сообщение, информирующее об этом, или сообщение о том, что учетная запись уже существует. Данная проблема может возникнуть при попытке изменить имя компьютера, который уже подключен к домену, либо если этот компьютер имеет активную сессию в этом домене. Можно закрыть приложение, подключенное к домену, например Проводник, получающий доступ к общей папке в сети. После этого можно повторить процесс изменения имени компьютера.
Если есть другие проблемы при соединении с доменом, убедитесь, что у настраиваемого компьютера правильная конфи1урация сети. На компьютере должны быть установлены сетевые службы и в свойствах TCP/IP должен быть указан правильный DNS-сервер.
У всех аутентифицированных пользователей есть полномочия Добавление рабочий станций к домену, и по умолчанию пользователи могут создавать до 10 учетных записей компьютера при присоединении компьютера к домену. Пользователи, у которых есть полномочия Создание объектов: account, для контейнера Computers могут создать неограниченное количество учетных записей компьютера в домене. Однако, у учетных записей компьютера, созданных аутентифицированными пользователями, владельцем является член группы Администраторы домена, а у учетных записей, созданных пользователями с правами Создание объектов: account, в качестве вла

Глава 6. Основы администрирования AD
дельца устанавливается пользователь, создавший эту учетную запись. Если предоставить полномочие Создание объектов: account, можно также предоставить полномочие Удаление объектов: account, чтобы пользователи могли удалить учетные записи компьютера из домена.
Предоставить привилегии Создание объектов: account, Удаление объектов: account (или обе эти привилегии) для контейнера Computers можно с помощью следующих действий:
1.	Откройте оснастку Active Directory - пользователи и компьютеры или Центр администрирования Active Directory. В оснастке Active Directory - пользователи и компьютеры убедитесь, что в меню Вид активирована команда Дополнительные параметры.
2.	Щелкните правой кнопкой мыши по контейнеру Computers и выберите команду Свойства.
3.	На вкладке Безопасность нажмите кнопку Дополнительно. В диалоговом окне Дополнительные параметры безопасности для «Computers»' нажмите кнопку Добавить, чтобы открыть окно Элемент разрешения для «Computers».
4.	Щелкните по ссылке Выберите субъект. В окне Выбор: «Пользователь», «Компьютер», «Учетная запись служба» или «Группа» выберите пользователя или группу, котором нужно предоставить полно-
□ X
Элемент разрешения для 'Computers'
Разрешения:
О Полный доступ
0 Слисок содержимого
0 Прочитать все свойства
0 Записать все свойства
□ Удаление
□ Удалить поддерево
0 Чтение разрешений
□ Сменить разрешения
□ Сменить владельца
□ Все проверенные операции записи
□ Создать все дочерние объекты О Удалить все дочерние объекты □ Создание объектов: account □ Удаление объектов; account
0 (Создание объектов; aCSResoutcel ттЦ □ Удаление объектов; aCSResourceLrmits □ Создание объектов. appiicationVefson 0 Удаление объектов: ар J-cat»onVef Jon
0 Создание объектов: cemficationAuthonty 0 Удаление объектов: cemfscationAuthonty □ Создание объектов: document
0 Удаление объектов: document
______ 	Г~1 Гобъект»- jdOCumentS»'чм _---------
□ Создание объектов: msDS-Va!ueType
□Удаление объектов: msDS-VaiueType
□ Создание объектов; msieee80211-Л?!ку
□ Удаление объектов; т$»ееев0211 -ftiitcy
□ Создание объектов: msimaging-PSPs
□ Удаление объектов: msJmagrng-PSPs
□ Создание объектов: msKds-ProvfiootKey
0 Удаление объектов: msXdi-ProvRootKey
□ Создание объектов: msKds-ProvServerConfiguration
0 Удаление объектов1 msKas-ProvServerConfiQuration
0 Создание объектов: ms-net-<eee-S0211-GroupPoUcy
□ Удаление объектов: ms-net-ieee-80211-Gcoupft>l*cy
□Создание объектов: mi-net-ieee-8O23-Group$b(icy
0 Удаление объектов: m$-net-eee-8023-Groupft3!icy
□ Создание объектов: msPKJ-Enterpnse-Oid
0 Удаление объектов msPKl-Enterprise-Oid
□ Создание объектов: msPKl-Key-Recovery-Agent
0 Удаление объектов msPXl-Key-Recovery-Agent
□ Создание объектов: msPKJ-PnvateKeyReccveryAgent
0 Уда лен г е объектов: msPKI-PnvateKeyftecoveryAgent
□Создание объектов: mrf’nnt-ConnectionPolicy
□Удаление объектов: msPnnt-Connect’OnRolicy £7 Гпчдадме объекте- mrSfUlWcirwolofn	_	______
| ОК	Отмена
Рис. 6.10. Предоставление полномочий
Справочник системного администратора
мочия, и нажмите кнопку ОК. Задайте привилегии и снова нажмите кнопку ОК.
6.3.	Управление контроллерами домена
6.3.1.	Понижение роли контроллера домена
В предыдущей главе был подробно рассмотрен процесс установки контроллера домена (развертывания AD DS), сейчас же мы рассмотрим, как понизить роль контроллера домена до уровня обычного сервера, что позволит переместить этот сервер в другой домен.
Для понижения роли контроллера домена выполните следующие действия:
1.	В консоли Диспетчер серверов в меню Управление выберите команду Удалить роли и компоненты, в результате будет запущен мастер удаления ролей и компонентов. Если мастер отобразит страницу Перед началом работы, прочитайте приветствие и нажмите кнопку Далее.
2.	На странице Выбор целевого сервера показан пул серверов, добавленных для управления. Выберите сервер, который нужно настроить, и нажмите кнопку Далее.
3.	На странице Выбор ролей сервера сбросьте флажок Доменные службы Active Directory, указав тем самым, что нужно удалить эту роль.
4.	Появится новое окно. В нем установите флажок Удалить средства управления, чтобы средства управления AD DS были удалены, нажмите кнопку Удалить компоненты. После этого нажмите кнопку Продолжить. Затем нажмите кнопку Далее дважды.
5.	На странице Учетные данные обратите внимание на вашу текущую учетную запись. Если нужно, предоставьте другие учетные данные с правами, необходимыми для удаления контроллера домена. Нажмите кнопку Далее.
6.	Если будет отображена страница Предупреждения, отметьте флажок Продолжить удаление, а затем нажмите кнопку Далее.
7.	Введите новый пароль и его подтверждение для вашей локальной учетной записи Администратор. Пароли должны совпадать. Нажмите кнопку Далее.
Глава 6. Основы администрирования AD
8.	На странице Подтверждение удаления компонентов есть возможность установить флажок Автоматический перезапуск конечного сервера, если требуется. Поскольку для полного удаления необходим запуск сервера, можно выбрать эту опцию, а затем подтвердить ее, нажав кнопку Да. Когда будете готовы продолжить, нажмите Удалить.
6.3.2.	Просмотр и передача ролей домена
Оснастку Active Directory - пользователи и компьютеры можно также использовать для просмотра или изменения FSMO-ролей. На уровне домена можно работать с ролями для владельцев относительных ID, владельцев эмулятора первичного контроллера домена и владельцев инфраструктуры. Чтобы просмотреть текущие FSMO-роли, выполните следующие действия:
1.	В оснастке Active Directory - пользователи и компьютеры щелкните правой кнопкой мыши по элементу Пользователи и компьютеры Active Directory в дереве консоли. Из контекстного выберите команду Все задачи | Хозяева операций. Будет открыто окно Хозяева операций, изображенное на рис. 6.11.
Оайл Действие Вид Спреем
* S8 А' В ’3 & Ш Y 2 X
~ Польэоышы и оыпмяеры Active №ei . Сохраненные ылросы
~ jfeexampiexom
Buittin	j
Computers a. Domain Controllers . FweignSecwiir₽rtncipais - Keys - . LostAndFound
4 Managed Service Accounts ... Program Data
- System " Users
. NTDS Quotas ” TFM Devices
t ИМЯ	j- ------------------------------------------- Дгмгыы»--------
= Сохранен^	операций	’ X
 examptexoj „
F® РОС Инфраструктура
Хозяин огмрвсив управляет раэпаиачгам пулов РЮ для «фугга контроллеров дои*но Эту роли выполни*» голый» Осин сарвар в до* ram
Хозяин операция
WtNLOOGBECFFJS eampta со"
W*KGOG8ECFFJS axampixt»
Рис. 6.11. Хозяева операций
Справочник системного администратора
2. В окне Хозяева операций есть три вкладки. Вкладка RID показывает текущее положение владельца относительных идентификаторов, на вкладке PDC отображено местоположение текущего владельца эмулятора PDC, а вкладка Инфраструктура демонстрирует положение текущего мастера инфраструктуры.
Передать текущие операции другим серверам можно так:
1.	В дереве консоли щелкните правой кнопкой мыши на узле Пользователи и компьютеры Active Directory, а затем выберите команду Сменить контроллер домена.
2.	В окне Смена сервера каталогов выберите опцию Этот контроллер домена или экземпляр AD LDS, затем выберите контроллер домена, на который нужно перенести FSMO-роли, и нажмите кнопку ОК.
3.	В дереве консоли щелкните правой кнопкой мыши на узле Пользователи и компьютеры Active Directory. В контекстном меню выберите команду Все задачи | Хозяева операций.
4.	В окне Хозяева операций перейдите на вкладку RID, PDC или Инфраструктура (в зависимости от типа роли, которую нужно перенести).
5.	Нажмите кнопку Изменить для передачи роли ранее выбранному контроллеру домена. Нажмите кнопку ОК.
6.4.	Управление организационными единицами
Организационные единицы помогают организовать объекты, применить групповую политику к ограниченному числу объектов и т. д. Далее будет показано, как создавать и управлять организационными подразделениями.
6.4.1.	Создание организационных подразделений
Обычно организационные подразделения создаются для отображения деловой или функциональной структуры организации. Также можно создавать подразделения из административных соображений, например, если нужно предоставить права делегирования пользователям или администра

Глава 6. Основы администрирования AD
торам. Можно создать организационные подразделения как подгруппы домена или как дочерние подразделения в пределах существующего организационного подразделения.
Для создания организационного подразделения выполните следующие действия:
1.	В оснастке Active Directory - пользователи и компьютеры или Центре администрирования Active Directoiy щелкните правой кнопкой мыши на узле домена или существующего организационного подразделения, в зависимости от того, куда нужно добавить новое организационное подразделение. Из контекстного меню выберите команду Создать | Подразделение.
2.	Введите имя организационного подразделения и нажмите кнопку ОК.
3.	Теперь можно переместить учетные записи и общие ресурсы в организационное подразделение.
6.4.2.	Просмотр и редактирование свойств организационных подразделений
Для просмотра и редактирования свойства организационного подразделения выполните действия:
1.	Откройте оснастку Active Directory - пользователи и компьютеры или Центр администрирования Active Directory.
2.	Щелкните правой кнопкой мыши на организационном подразделении, с которым нужно работать, а затем выберите команду Свойства. Это отобразит окно Свойства, позволяющее просмотреть и отредактировать свойства.
6.4.3.	Переименование и удаление организационных подразделений
Переименовать или удалить организационное подразделение в оснастке Active Directory - пользователи и компьютеры можно так:
1.	Щелкните правой кнопкой мыши на организационном подразделении, которое нужно переименовать или удалить.
Справочник системного администратора
2.	Для удаления подразделения выберите команду Удалить, затем подтвердите удаление, нажав кнопку Да.
3.	Для переименования подразделения выберите команду Переименовать, затем введите новое название подразделения и нажмите клавишу <Enter>.
В Центре администрирования Active Directory аналогичным образом можно удалить подразделение, но для переименования нужно открыть его окно Свойства, ввести новое имя и нажать кнопку ОК.
6.4.4.	Перемещение организационных подразделений
Любое организационное подразделение можно переместить в любое место пределах домена. В оснастке Active Directory - пользователи и компьютеры просто выберите подразделение и переместите его в нужное местоположение.
В оснастке Active Directory - пользователи и компьютеры и в Центре администрирования Active Directory организационное подразделение можно переместить также с помощью команды Переместить:
1. Щелкните правой кнопкой мыши на папке подразделения, которое нужно переместить, и выберите команду Переместить.
2. В окне Переместить разверните домен и затем выберите контейнер, в который нужно переместить организационное подразделение. Нажмите кнопку ОК.
Мы только что рассмотрели управление компьютерами, контроллерами доменов и организационными подразделениями. В следующей главе мы рассмотрим управление учетными записями пользователей.
208 ]
Глава 7.
Управление учетными записями пользователя и группы
Справочник системного администратора
Управление учетными записями пользователей - одна из самых важнейших задач администратора Windows Server. Вам не просто придется создавать и удалять учетные записи, иногда сбрасывая их пароль, вам нужно будет балансировать между потребностями пользователей по мере выполнения их служебных обязанностей и потребностями организации по защите важной или даже секретной информации. В небольшой организации можно с легкостью предоставить доступ «всем ко всему», но в таких организациях, как правило, и нет потребности в Active Directory и Windows Server вообще -все можно решить с помощью рабочих групп. На таких предприятиях, где число компьютеров не превышает 15-20 штук, можно обойтись вообще без Windows Server, а использовать только клиентские версии Windows, объединенные в одну рабочую группу - вполне нормальная практика из соображений экономии. Не нужно ни покупать сам Windows Server, ни выделять отдельный компьютер под него. С ростом числа пользователей администрирование такой сети становится все менее и менее удобным.
При работе с Windows вы должны понимать, что существуют учетные записи трех типов - локальные, учетные записи домена и учетные записи Microsoft. В этой главе уделяется внимание доменным учетным записям и отчасти будут затронуты локальные.
Операционная система Windows Server предоставляет учетные записи пользователя и группы (членом которых являются пользователи). Учетные записи пользователя предназначены для отдельных пользователей. Учетные записи групп разработаны для упрощения администрирования мно

Глава 7. Управление учетными записями пользователя и группы
жества пользователей. В отличие от учетной записи пользователя, учетная запись группы не может использоваться для входа в систему. Учетные записи группы часто называют просто группами.
7.1.	Типы учетных записей пользователей
Как уже отмечалось во введении в эту главу, существует два три типа учетных записей:
•	Учетные записи пользователей, определенные в Active Directory, называются учетными записями пользователей домена. Посредством единого входа в систему учетные записи пользователей домена могут получить доступ ко всем ресурсам домена. Учетные записи пользователей домена создаются в оснастке Active Directory - пользователи и компьютеры.
•	Учетные записи пользователей, определенные на локальном компьютере, называются локальными учетными записями пользователей. Локальные учетные записи пользователей имеют доступ только, к локальному компьютеру и должны пройти аутентификацию перед обращением к сетевым ресурсам. Создать локальные учетные записи может с помощью утилиты Локальные пользователи и группы.
•	Учетные записи Microsoft. Используются для доступа к многочисленным устройствам и службам Майкрософт: для входа в Skype, Outlook com, OneDrive, Windows Phone и Xbox LIVE, для получения доступа к своим файлам, фотографиям, контактам и настройкам с любого устройства. Такие учетные записи более характерны для домашних и личных компьютеров, нежели для корпоративной сети.
7.2.	Имя входа и идентификаторы безопасности
Все учетные записи пользователей идентифицируются с помощью имени входа. В Windows Server имя входа состоит из двух частей:
•	имя пользователя — текстовая метка учетной записи;
•	домен пользователя или рабочая группа — рабочая группа или домен, где существует учетная запись пользователя.
Справочник системного администратора
Для пользователя mark, чья учетная запись создана в домене example.com, полное имя входа будет mark@example.com. Имя входа в старом формате (в ОС, предшествовавших Windows 2000) — EXAMPLE\mark.
При работе с Active Directory также нужно указать полное имя пользователя (fully qualified domain name, FQDN). FQDN-имя пользователя — это комбинация доменного имени пользователя DNS (Domain Name System), контейнера или организационного подразделения, где находится учетная запись пользователя, и имени пользователя. Для пользователя example. com\users\mark, example.com — это доменное имя DNS, users — контейнер или организационное подразделение, a mark — имя пользователя.
Учетные записи пользователей также имеют пароли и публичные сертификаты, связанные с ними. Пароли — это аутентификационные строки для учетной записи. Публичные сертификаты состоят из публичного и частного ключей для идентификации пользователей. Можно войти интерактивно, используя пароль. Также можно войти, предоставив сертификат на смарт-карте.
Хотя Windows Server отображает имя пользователя для описания его привилегий и разрешений, ключевыми идентификаторами для учетных записей являются идентификаторы безопасности (Security Identifiers, SID). SID — это уникальные идентификаторы, которые генерируются при создании учетных записей. Каждый SID учетной записи состоит из ID безопасности домена и уникального относительного ID (relative ID, RID), который выделен хозяином относительных идентификаторов.
Операционная система Windows Server использует эти идентификаторы для отслеживания учетных записей отдельно от имен пользователей. SID применяется для разных целей. Две самые важные цели: простое изменение имен и безопасное удаление учетных записей (не нужно волноваться, что кто-то получит доступ к ресурсам, воссоздав учетную запись с таким же именем).
При изменении имени пользователя Windows Server связывает определенный SID с новым именем. При удалении учетной записи SID, связанный с ней, больше не является действительным. Позже, даже если кто-то создаст учетную запись с тем же именем пользователя, у новой учетной записи не будет тех же полномочий и разрешений, как у предыдущей. Потому что у новой учетной записи будет новый SID.
7.3.	Учетные записи групп
В дополнение к учетным записям пользователей Windows Server предоставляет группы. Вообще говоря, группы используются для предоставления

Глава 7. Управление учетными записями пользователя и группы
полномочий пользователям, выполняющим похожие действия, и упрощения администрирования учетных записей. Если пользователь — участник группы, которая может получить доступ к ресурсу, то и этот определенный пользователь тоже может получить доступ к этому ресурсу. Таким образом, можно предоставить доступ пользователю к различным необходимым ему для выполнения своих обязанностей ресурсам, сделав его членом определенной группы. Обратите внимание, несмотря на то, что можно войти в систему, используя учетную запись пользователя, нельзя войти в систему с помощью учетной записи группы.
Например, у нас есть отдел продаж, сотрудники которого нуждаются в доступе ко всем ресурсам, относящимся к маркетингу. Вместо предоставления необходимого доступа к этим ресурсам каждому отдельному сотруднику, можно сделать пользователей членами группы маркетинга. В этом случае будут автоматически получены привилегии группы.
Поскольку разные домены Active Directory могут иметь группы с одинаковым названием, группы часто указываются в виде домен\группа, например, example\sales для группы sales в домене example. При работе с Active Directory также нужно указать FQDN для группы. FQDN для группы — это конкатенация DNS-имени, контейнера или организационного подразделения и имени группы. Для группы example.com\users\sales: example.com — DNS-имя домена, users — название контейнера или организационного подразделения и sales — имя группы.
7.3.1.	Типы групп
ОС Windows Server поддерживает группы трех типов.
•	Локальные группы — группы, определенные на локальном компьютере. Они используются только на локальном компьютере и создаются с помощью утилиты Локальные пользователи и группы.
•	Группы безопасности — группы, которые имеют связанные с ними дескрипторы безопасности. Группы безопасности в доменах создаются с помощью оснастки Active Directory - пользователи и компьютеры.
•	Группы рассылки — группы, которые используются в списках рассылки электронной почты. Они не имеют дескрипторов безопасности, связанных с ними. Создаются оснасткой Active Directory - пользователи и компьютеры.

Справочник системного администратора
7.3.2.	Область действия группы
В Active Directory есть .несколько областей (диапазонов) групп — локальный домен, встроенный локальный, глобальный и универсальный. Область группы определяет, что можно сделать, а что — нет. То есть группы можно создавать и использовать в разных областях.
•	Локальные группы домена — группы в основном используются для назначения разрешений доступа к ресурсам в пределах одного домена. Локальные группы домена могут включать членов из любого домена в лесу и из доверяемых доменов в других лесах. Обычно глобальные и универсальные группы являются членами локальных групп домена. Лучше всего такие группы использовать для управления доступом к ресурсам, таким как принтеры и совместно используемые папки.
•	Встроенные локальные группы — группы со специальной областью группы, имеют разрешения локального домена и часто, для простоты, относятся к локальным группам домена. Разница между локальными встроенными группами и другими группами в том, что нельзя создавать или удалять встроенные локальные группы. Можно только модифицировать встроенные локальные группы. Упоминание локальных групп домена относится и к встроенным локальным группам, если явно не указано иное.
•	Глобальные группы — группы, которые используются преимущественно для определения прав пользователей и компьютеров в одном и том же домене, разделяющих подобную роль, функцию или работу. Члены глобальных групп — только учетные записи и группы из домена, где они были определены.
•	Универсальные группы — группы, используемые преимущественно для определения наборов пользователей или компьютеров, которые должны иметь широкие разрешения по всему домену или лесу. Членами универсальных групп могут быть учетные записи пользователей, глобальные группы и другие универсальные группы из любого домена в дереве доменов или лесу.
7.3.3.	Идентификаторы безопасности и учетные записи групп
Как и с учетными записями пользователей, ОС Windows Server отслеживает учетные записи группы с помощью уникальных SID. Это означает, что невозможно удалить учетную запись группы, воссоздать ее снова и затем

Глава 7. Управление учетными записями пользователя и групп
ожидать, что все полномочия останутся теми же. У новой группы будет новый SID, и все полномочия старой группы будут потеряны.
ОС Windows Server создает маркеры безопасности для каждого входа пользователя. Маркеры безопасности определяют ID учетной записи и SID всех групп безопасности, к которым принадлежит пользователь. Размер маркера увеличивается по мере добавления пользователя в дополнительные группы безопасности, и у этого есть последствия:
•	маркер безопасности должен быть передан процессу входа пользователя перед завершением входа. Когда число групп безопасности высокое, процесс входа занимает больше времени;
•	чтобы определить права доступа, маркер безопасности отправляется на каждый компьютер, к которому пользователь хочет получить доступ. Поэтому у размера маркера безопасности есть прямое влияние на загрузку сети.
7.4.	Учетные записи пользователей и групп по умолчанию
При установке Windows Server 2019 операционная система устанавливает учетные записи групп и пользователей по умолчанию. Эти учетные записи разработаны для обеспечения базовой установки, необходимой для построения сети. По умолчанию доступны учетные записи трех типов:
•	встроенные (Built-in) — учетные записи пользователя и группы, устанавливаемые с операционной системой, приложениями и службами;
•	предопределенные (Predefined) — учетные записи пользователя и группы, установленные с операционной системой;
•	неявные (Implicit) — специальные группы, также известные как специальные идентификаторы, создаваемые неявно, когда происходит доступ к сетевым ресурсам.
7.4.1.	Встроенные учетные записи пользователей
Встроенные учетные записи пользователей имеют специальное назначение в Windows Server. Все системы Windows Server имеют несколько встроенных учетных записей пользователей:
[ 215
Справочник системного администратора
•	LocalSystem — псевдоучетная запись для запуска системных процессов и управления задачами уровня системы. Эта учетная запись — часть группы Администраторы на сервере и имеет все права пользователя на сервере. Если настраиваете приложения или службы на использование этой учетной записи, все связанные процессы получат полный доступ к системе сервера. Много служб запускается с помощью учетной записи LocalSystem. В некоторых случаях эти службы имеют привилегии взаимодействовать с рабочим столом. Службы, которым нужны альтернативные привилегии или права входа, запускаются под учетными записями LocalService или NetworkService.
•	LocalService — псевдоучетная запись с ограниченными привилегиями, которая предоставляет доступ только к локальной системе, является частью группы Пользователи на сервере и имеет те же права, что и учетная запись NetworkService, за исключением, что она ограничена только локальным компьютером. Настройте приложения и службы на использование этой учетной записи, когда соответствующим процессам не нужно получать доступ к другим серверам.
•	NetworkService — псевдоучетная запись для запуска служб с необходимыми дополнительными привилегиями и правами входа в локальную систему и сеть. Эта учетная запись — часть группы Пользователи на сервере и предоставляет меньше разрешений и привилегий по сравнению с учетной записью LocalSystem (но больше, чем LocalService). В частности, процесс, запущенный с этой учетной записью, может взаимодействовать всюду по сети, используя учетные данные учетной записи компьютера.
•	При установке дополнений или приложений на сервер могут быть установлены другие учетные записи по умолчанию.
7.4.2.	Учетная запись Администратор
Администратор — предопределенная учетная запись, обеспечивающая полный доступ к файлам, каталогам, службам и другим объектам. В Active Directory у учетной записи Администратор есть полный доступ и полные полномочия, распространяющиеся на весь домен. В противном случае у учетной записи Администратор есть доступ только к локальной системе. Несмотря на то, что некоторые файлы и каталоги могут быть временно защищены от учетной записи Администратор, она может взять под свой контроль эти ресурсы в любое время, изменив права доступа. По умолчанию, учетная запись Администратор включена, но можно отключить или пере

Глава 7. Управление учетными записями пользователя и группы
именовать ее, чтобы улучшить безопасность. Для переименования учетной записи используется политика безопасности Учетные записи: переименование учетной записи администратора.
По умолчанию, учетная запись Администратор для домена — член групп Администраторы, Администраторы домена, Пользователи домены, Администраторы предприятий, Владельцы-создатели групповой политики и Администраторы схемы. Информацию об этих группах можно найти в следующем разделе.
7.4.3.	Учетная запись Гость
Учетная запись Гость предназначена для пользователей, которым необходим одноразовый или случайный доступ. Хотя гости получают ограниченный доступ к системе, нужно быть очень осторожными при использовании этой учетной записи. При каждом использовании этой учетной записи гарантированы потенциальные проблемы безопасности. Риск настолько большой, что по умолчанию в Windows Server эта учетная запись отключена.
Учетная запись Гость по умолчанию является членом групп Гости домена и Гости. Обратите внимание, что учетная запись Гость, как и другие именованные учетные записи, также является членом неявной группы Все. Группа Все обычно имеет доступ к файлами и папкам. Также у этой группы есть набор прав пользователя по умолчанию.
7.4.4.	Неявные группы и специальные идентификаторы
В Windows Server неявные группы назначаются неявно во время входа и основаны на том, как пользователь получает доступ к сетевому ресурсу. Например, если пользователь получает доступ к ресурсу с помощью интерактивного входа, пользователь автоматически становится членом неявной группы Интерактивные. Не смотря на то, что все еще нельзя просмотреть членство специальных идентификаторов, можно предоставить членство в неявных группах пользователям, группам и компьютерам.
Чтобы отразить измененную роль, неявные группы также называют специальными идентификаторами. Специальный идентификатор — это группа, членство в которой устанавливается неявно, например, во время входа в систему, или явно через специальные разрешения доступа. Как и в случае
[ 217 '
Справочник системного администратора
с другими группами по умолчанию, доступность определенной неявной группы зависит от текущей конфигурации.
Список специальных идентификаторов приведен далее.
•	Анонимный вход — в эту группу зачисляется любой пользователь, получивший доступ к системе посредством анонимного входа. Эта группа разрешает анонимный доступ к ресурсам, например, к веб-странице, опубликованной на корпоративном сервере.
•	Прошедшие проверку — в эту группу попадает пользователь, прошедший проверку подлинности. Идентификатор разрешает доступ к общим ресурсам в пределах домена, например, к файлам в общей папке, которые должны быть доступны всем сотрудникам организации.
•	Пакетные файлы — к этой группе относится любой пользователь, получивший доступ к системе в качестве пакетного задания. Позволяет запускать запланированные задачи, например, ночное удаление временных файлов.
•	Группа-создатель — Windows Server использует эту специальную группу для автоматичного предоставления доступа пользователям, являющимся членами той же группы, что и создатель файла или каталога.
•	Создатель владелец — лицо, создавшее файл или каталог, становится членом этой специальной группы. Windows Server использует эту группу для автоматического предоставления разрешений создателю файла или каталога.
•	Удаленный доступ — любой пользователь, получивший доступ в систему с помощью коммутируемого соединения, попадает в группу Удаленный доступ. Эта группа позволяет разграничить пользователей dial-up от других типов аутентифицированных пользователей.
•	Контроллеры домена предприятия — контроллеры домена, выполняющие роли уровня предприятия. Эта группа позволяет выполнять определенные задачи с помощью транзитивного доверия.
•	Все — все интерактивные, сетевые, dial-up и аутентифицированные пользователи являются членами данной группы. Это специальная группа предоставляет широкий доступ к ресурсам системы.
•	Интерактивные — любой пользователь, выполнивший локальный вход в систему. Данная группа позволяет предоставить доступ к ресурсу только локальным пользователям.

Глава 7. Управление учетными записями пользователя и группь
•	Сеть — членом этой группы является любой пользователь, вошедший в систему по сети. Данная группа позволяет предоставить доступ к ресурсу только удаленным пользователям.
•	Proxy — пользователи и компьютеры, получающие доступ к ресурсам через прокси, попадают в эту группу. Группа используется, когда в сети реализованы прокси-серверы.
•	Пользователи удаленного рабочего стола — любой пользователь, получивший доступ к системе с помощью служб удаленного рабочего стола. Позволяет пользователям удаленного рабочего стола получать доступ к приложениям служб удаленного рабочего стола и осуществлять другие необходимые задачи с этими службами.
•	Ограниченные — пользователи и компьютеры с ограниченными возможностями.
•	Self — указывает на сам объект и позволяет объекту изменять самого себя.
•	Служба — любая служба, получающая доступ к системе. Данная группа предоставляет доступ к процессам, запущенным службами Windows Server.
•	Система — сама операционная система Windows Server. Группа используется, когда операционной системе нужно выполнить действия на уровне системы.
7.4.5. Группы, используемые администраторами
Администратор — тот, у кого есть широкий доступ к сетевым ресурсам. Администраторы могут создавать учетные записи, изменять права пользователей, устанавливать принтеры, управлять общими ресурсами и т. д. Основные группы администратора — Администраторы, Администраторы домена и Администраторы предприятия. В табл. 7.1 сравниваются группы администратора.
[ 219 [
Справочник системного администратора
Таблица 7.1. Обзор групп администратора
Тип группы администратора	Сетевая среда	Действие группы	Членство
Администраторы	Домены Active Directory	Локальный домен	Администратор, Администраторы домена, Администраторы предприятия
Администраторы	Рабочие группы. компьютеры, не входящие в домен	Локальное	Администратор
Администраторы домена	Домены Active Directory	Глобальное	Администратор
Администраторы предприятия	Домены Active Directory	Глобальное или универсальное	Администратор
Администраторы схемы	Домены Active Directory	Универсальное	Администратор
•	Администраторы — это локальная группа, предоставляющая полный административный доступ к отдельным компьютерам или к единственному домену, в зависимости от его расположения. Поскольку у этой учетной записи есть полный доступ, нужно быть очень осторожными при добавлении пользователей в эту группу. Чтобы назначить кого-то администратором локального компьютера или домена, все, что нужно сделать — это добавить человека в эту группу. Только члены группы Администраторы могут изменить эту учетную запись.
•	Администраторы домена — глобальная группа, разработанная, чтобы помочь управлять ресурсами в домене. Члены этой группы имеют полный контроль над доменом. Эта группа обладает административным контролем над всеми компьютерами в домене, потому что она — член группы Администраторы по умолчанию на всех контроллерах домена, всех рабочих станциях и всех рядовых серверах домена, как только они присоединяются к домену. Чтобы назначить кого-то администратором домена, сделайте этого человека членом данной группы.
•	Администраторы предприятия — глобальная группа, призванная помочь управлять ресурсами леса. Члены этой группы имеют полный контроль над всеми доменами в лесу. Эта группа обладает полным административ
Г 220 1
Глава 7. Управление учетными записями пользователя и группы
ным контролем над контроллерами домена в предприятии, потому что эта группа является членом группы Администраторы по умолчанию на всех контроллерах домена в лесу. Чтобы сделать кого-то администратором предприятия, просто добавьте его в эту группу.
•	Администраторы схемы — универсальная группа, разработанная для управления схемой в Active Directoiy Члены этой группы могут работать со схемой и изменять схему Active Directory. Перед тем, как кто-либо сможет редактировать схему, нужно сделать его членом этой группы.
7.5. Возможности учетной записи
В Windows Server можно назначить следующие типы возможностей учетной записи.
•	Привилегия — тип права пользователя, предоставляющий разрешения на выполнение определенных административных задач. Можно назначить привилегии учетным записям пользователя и группы. Примером привилегии является возможность завершать работу системы.
•	Права входа — тип права пользователя, предоставляющий разрешения входа в систему. Можно назначить право входа, как учетной записи пользователя, так и группы. Примером права входа является право входа локально.
•	Встроенные возможности — тип права пользователя, который назначается группам и включает автоматические возможности группы. Встроенные возможности предопределены и неизменны, но они могут быть делегированы пользователям с разрешением управлять объектами, организационными подразделениями и другими контейнерами. Пример встроенной возможности — возможность создавать, удалять и управлять учетными записями пользователей. Эта возможность присвоена операторам учетной записи и администраторам. Таким образом, если пользователь — участник группы Администраторы, то он может создавать, удалять и управлять учетными записями пользователей.
•	Разрешения доступа — тип права пользователя, определяющий операции, которые могут быть выполнены на сетевых ресурсах. Можно назна
Справочник системного администратора
чить разрешения доступа пользователям, компьютерам и группам. Пример разрешения доступа — возможность создавать файл в каталоге.
7.5.1.	Привилегии
Привилегии — это назначение права пользователя, предоставляющее разрешения на выполнение определенных административных задач. Можно назначить привилегии с помощью групповых политик, которые могут быть применены к отдельным компьютерам, организационным подразделениям и доменам. Хотя можно назначить привилегии как пользователям, так и группам, обычно нужно назначать привилегии группам. В этом случае пользователи автоматически получат соответствующие права, как только они станут членами группы. Назначение привилегий группам также упрощает управление учетными записями.
В табл. 7.2 приведено краткое описание каждой привилегии, которую можно назначить пользователям и группам.
Таблица 7.2. Привилегии пользователей и групп
Привилегия	Описание
Работа в режиме операционной системы	Позволяет процессу допускать любого пользователя к работе в системе без проверки подлинности.
Добавление рабочих станций к домену	Разрешает пользователям добавлять компьютеры в домен
Настройка квот памяти для процесса	Разрешает пользователям изменять максимальный объем памяти, используемый процессом
Архивация папок и каталогов	Позволяет пользователям архивировать систему, независимо от разрешений, установленных для файлов и каталогов
Обход перекрестной проверки	Позволяет пользователям производить обзор деревьев каталога, даже если у этих пользователей отсутствуют разрешения на каталог. Привилегия не позволяет пользователям просматривать содержимое каталога, а только производить его обзор
Изменение системного времени	Разрешает пользователям устанавливать время системных часов
Г 222 1
Глава 7. Управление учетными записями пользователя и групп
Привилегия	Описание
Изменение часового пояса	Разрешает пользователям устанавливать часовой пояс системных часов. По умолчанию эта привилегия есть у всех пользователей
Создание файла подкачки	Позволяет пользователям создавать и изменять размер файла подкачки для виртуальной памяти
Создание маркерного объекта	Позволяет процессам создавать маркерные объекты, которые могут использоваться для предоставления доступа к локальным ресурсам. Процессы, которым нужна эта привилегия, должны использовать учетную запись LocalSystem
Создание глобальных объектов	Позволяет процессам создавать глобальные объекты. Эта привилегия по умолчанию есть у учетных записей LocalService и NetworkService
Создание постоянных общих объектов	Позволяет процессам создавать объекты каталога в диспетчере объектов. У большинства компонентов уже есть эта привилегия, и не нужно назначать ее специально
Создание символических ссылок	Определяет для пользователя возможность создавать символические ссылки. Символьные ссылки позволяют файлу или папке появится в определенном расположении, когда на самом деле этот файл или папка находится в другом расположении. Использование символических ссылок по умолчанию ограничено из соображений безопасности
Отладка программ	Разрешает пользователям осуществить отладку программ
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании	Определяет, какие пользователи могут устанавливать параметр Делегирование разрешено для пользователя или объекта-компьютера
Принудительное удаленное завершение работы	Позволяет пользователям завершать работу компьютера с удаленной системы
Создание аудитов безопасности	Разрешает процессам создавать записи журнала для аудита доступа к объектам
Справочник системного администратора
Привилегия	Описание
Имитация клиента после проверки подлинности	Позволяет веб-приложениям действовать как клиентам во время обработки запросов. Службы и пользователи также могут работать как клиенты
Увеличение рабочего набора процесса	Разрешает пользователю увеличить размер рабочего набора процесса. Рабочий набор процесса — это набор страниц памяти, видимых в данный момент процессу в физической памяти. При увеличении рабочего набора снижается количество ошибок страниц и повышается производительность
Увеличение приоритета выполнения	Позволяет процессам повышать приоритет выполнения другого процесса, при условии, что у них есть доступ для записи к процессу
Загрузка и выгрузка драйверов устройства	Позволяет пользователям устанавливать и деинсталлировать драйверы РпР-устройств. Это не влияет на драйверы не-РпР-устройств, которые могут устанавливать только администраторы
Блокировка страниц в памяти	Позволяет процессам хранить данные в физической памяти, запрещая системе выгружать данные в виртуальную память на диск
Управление аудитом и журналом безопасности	Позволяет пользователям указывать опции аудита и получать доступ к журналу безопасности. Сначала нужно включить аудит в политике группы
Изменение метки объекта	Позволяет пользовательскому процессу изменять метки целостности объектов, таких как файлы, разделы реестра или процессы, владельцами которых являются другие пользователи. Эти привилегии могут быть использованы для понижения приоритета других процессов. Процессы, запущенные под учетной записью пользователя, могут модифицировать любой объект, который принадлежит пользователю без запроса этой привилегии
224
Глава 7. Управление учетными записями пользователя и групп
Привилегия	Описание
Изменение параметров среды изготовителя	Разрешает пользователям и процессам изменять системные переменные среды
Выполнение задач по обслуживанию томов	Разрешает администрирование сменных носителей, дефрагментацию диска и управление диском
Профилирование одного процесса	Разрешает пользователям контролировать производительность несистемных процессов
Профилирование производительности системы	Позволяет пользователям следить за производительностью системных процессов
Отключение компьютера от стыковочного узла	Разрешает отключение лэптопа от стыковочного узла и его удаление из сети
Замена маркера уровня процесса	Позволяет процессам заменять маркер по умолчанию для подпроцессов
Восстановление файлов и каталогов	Разрешает пользователям восстанавливать заархивированные файлы и каталоги, независимо от разрешений, установленных для файлов и каталогов
Завершение работы системы	Разрешает пользователям выключать локальный компьютер
Синхронизация данных службы каталога	Позволяет пользователям синхронизировать данные службы каталога на контроллерах домена
Смена владельцев файлов и других объектов	Разрешает пользователям сменять владельцев файлов и любых других объектов Active Directory
7.5.2.	Право входа
Право входа — право пользователя, предоставляющее полномочия входа в систему. Можно назначить право входа как учетной записи пользователя, так и учетной записи группы. Как и в случае с привилегиями, права входа назначаются через групповые политики, кроме того права входа проще назначать сразу группам, нежели отдельным пользователям.
[ 225
правочник системного администратора
В табл. 7.3 приведено краткое описание каждого права входа, которое можно назначить пользователям и группам.
Таблица 7.3. Права хода для пользователей и групп
Право входа	Описание
Доступ к диспетчеру учетных данных от имени доверенного вызывающего	Предоставляет разрешение устанавливать доверенное соединение с диспетчером учетных данных (Credential Manager). Учетные данные (имя пользователя и пароль или смарт-карта) обеспечивают идентификацию
Доступ к компьютеру из сети	Предоставляет удаленный доступ к компьютеру
Локальный вход в систему	Предоставляет разрешение войти в систему с клавиатуры компьютера. На контроллерах домена зто право по умолчанию ограничено и доступно только следующим группам: Администраторы, Операторы учета, Операторы архива, Операторы печати и Операторы сервера
Разрешить вход в систему через службу удаленных рабочих столов	Предоставляет доступ с помощью службы удаленных рабочих столов. Это право необходимо для удаленной помощи и удаленного использования рабочего стола
Отказать в доступе к этому компьютеру из сети	Запрещает удаленный доступ к этому компьютеру по сети
Отказать во входе в качестве пакетного задания	Запретить право входа в качестве пакетного задания или сценария
Отказать во входе в качестве службы	Запрещает вход в качестве службы
Запретить локальный вход	Запрещает локальный вход в систему с использованием клавиатуры компьютера
Запретить вход в систему через службу удаленных рабочих столов	Запрещает вход в систему с использованием удаленных рабочих столов
Вход в качестве пакетного задания	Предоставляет разрешение войти в систему в качестве пакетного задания
Вход в качестве службы	Предоставляет разрешение войти в систему в качестве службы. Это право есть у учетной записи LocalSystem. Данное право нужно назначить учетной записи службы
Глава 7. Управление учетными записями пользователя и группы
7.5.3.	Встроенные возможности для групп в Active Directory
Встроенные возможности, назначаемые группам в Active Directoiy, зависят от конфигурации компьютера. С помощью Редактора локальной групповой политики (рис. 7.1) можно просмотреть возможности, которые назначаются каждой группе, раскрыв узел Конфигурация компыотера\Конфигу-рация Windows\IIapaMeTpbi безопасности\Локальные политики и выбрав узел Назначение прав пользователя.
Редактор локальной групповой политики
6 2?
Политика 'Локальный компьютер' и ФУ Конфигурация компьютере Конфигурация программ
* Конфигурация Window^ ь Политика разрешения имен : Сценарии Смпуск/эавершениС
«В Развернутые принтеры
* f Параметры безопасности
► S Политики учетных записей1:
* 4 Локальные политики
 а ”олитмча аудита
S Назначение прав пользе
• Параметры безопасное/’ ^Загрузка и выгрузка дра'вероя устройств Л Монитор брандмауэра Заш
Тслитлси диспетчера спио <<•-.
Политики открытого ключа.
8 Политики ограниченного и Политики управления при/
* Политики Р-беэоласиости
Конфигурация расширение: /ч Изменение системного времени Изменение часового пояса
Имитация клиетга после проверки подлини...
I Локал -чдй вход в систему
i да Настройка квот памяти для процесса
; S Обход перекрестной проверки
^..Отказать в доступе к этому компьютеру из се...
. Отказать яо вкоае в качестве пакетного зада...
. г-.Стсазат» во входе в качестве службы
; ^Отключение компьютера от стыковочного уз. Администраторы
Ji QoS на основе политики Административные шаблоны < Конфигурация пользователя
Конфигурация программ Конфигурация Windows Административные шаблоны
Политика
1 траме-р безопасности
блокировка стоа-ии в памяти
*’Восстамсаве*- е файлов и каталогов
. ‘Вход в качестве пакетного задания
’ ас Входе качестве службы
. Выполнение задач по обслуживанию томов
; " Добавление рабочих станций к домену
Доступ к диспетчеру учетных данных от име_
' jg Доступ к компьютеру из сети
• Завершение работы системы
-’Замена маркера уровня процесса
«£ За-реттъ вход в систему через службу удал_
- Запретить локальный вход
Изменение метки. объема
Админястраторы.Операторы сервера.Операторы архива
Администра-сры.Олераторы архиааЛольэователк журналов произв_
NT SERVKEWl SERVICES
Аанинистпаторы
Про а.е.-ш -e проверку
ВсеЛрсшедшие проверхуАймииистраторы.Прел-’^пОотм 2000досгу-Администс>а''сры.Операторы сервера Операторы печа’*'Операторы -Адциг<истра’сры Операторы печати
LOCAL S£RWE.NETAORX SERVICE
Администраторы
LOCAL SERVJCEAnfMH -стратосы, Огер агоры сервера
LOCAL SERVKf^AiXMH. стра-оры,Оператеры сервера
LOCAL SERVKE NETWORK 5ЕК\’1СЕДаминистраторы.й5_лЛД5,СЖ*£А Администраторы Операторы учетаЛператоры сервера.Операторы г;, LOCAL SERVICEAItTWORK SERVICE Администраторы
Все^рошедх/е проверку .LOCAL SERVICE,NETWORK SERVICE Ддыинист-
Рис. 7.1. Назначение прав пользователя
Описание той или иной политики можно узнать на вкладке Объяснение. Как правило, назначение политики понятно по ее названию, а колонка Параметр безопасности содержит список групп, которым назначено то или иное право.
Рис. 7.2. Вкладка Объяснение
7.6.	Требования к именам пользователей
и паролям
7.6.1.	Требования к имени учетных записей
У учетных записей есть отображаемые имена и имена входа. Отображаемое имя (или полное имя) — имя, отображаемое пользователям и имя, показываемое в сеансах пользователя. Имя входа — это имя, используемое для входа в домен.
Для учетных записей домена отображаемое имя обычно состоит из фамилии, имени и отчества, но можно указать любую строку. Отображаемое имя должно соответствовать следующим правилам:
•	локальные отображаемые имена должны быть уникальными на отдельном компьютере;

Глава 7. Управление учетными записями пользователя и групп
•	отображаемые имена должны быть уникальными в пределах домена;
•	максимальная длина отображаемого имени — 64 символа;
•	отображаемые имена могут содержать алфавитно-цифровые и специальные символы.
Имена входа должны следовать этим правилам:
•	локальные имена входа должны быть уникальными в пределах отдельного компьютера, глобальные имена входа должны быть уникальными в пределах домена;
•	имена входа MOiyr состоять из 256 символов. Однако очень непрактично использовать имена входа длиной более 64 символов;
•	старые имена входа (в формате для ОС, предшествовавших Windows 2000) назначаются всем учетным записям. По умолчанию, в качестве этого имени входа используются первые 20 символов обычного имени входа. Имена входа в старом формате тоже должны быть уникальными в пределах домена;
•	пользователи, входящие в домен с компьютера, могут использовать свои стандартные имена входа или свои имена в старом формате (для ОС, предшествовавших Windows 2000) независимо от режима работы домена;
•	имена входа не могут содержать определенных символов. Следующие символы недопустимы: </\[];| = ,+ *?<>;
•	имена входа могут содержать все остальные специальные символы, в том числе пробелы, двоеточия, тире и символы подчеркивания. Однако использовать данные символы в именах учетных записей — не очень хорошая идея.
7.6.2.	Использование безопасных паролей
Пароль — это чувствительная к регистру строка, которая может содержать 127 символов и более при использовании Active Directoiy и до 14 символов при использовании Windows NT Security Manager. Допустимые символы для паролей — буквы, цифры и другие символы. При установке пароля для учетной записи Windows Server сохраняет пароль в зашифрованном виде в базе данных учетных записей.
правочник системного администратора
Но простого наличия пароля не достаточно. Ключ к предотвращению несанкционированного доступа к сетевым ресурсам — использование безопасных паролей. Разница между среднестатистическим и безопасным паролем — безопасные пароли трудно подобрать и взломать. Сделать пароль сложным для подбора и взлома можно, используя комбинацию всех доступных типов символов, в том числе символов разного регистра, цифр и прочих символов. Например, вместо того, чтобы использовать topsecret в качестве пароля, лучше выбрать tOPsECret& или TO12pSeCre7*.
Также можно использовать парольные фразы. В этом случае пароль содержит несколько слов и знаки пунктуации, как в предложении. Например, «Му very secret passwOrd!». Эта фраза содержит знаки пунктуации, цифры и удовлетворяет всем требованиям сложности и невероятно трудна для взлома.
К сожалению, нет никакой разницы, насколько безопасным будет начальный пароль, пользователь со временем может установить собственный пароль. Поэтому необходимо установить политики учетных записей, определяющие, каким будет безопасный пароль для имеющихся систем. Политики учетных записей — это подмножество политик, настраиваемых в групповой политике.
7.7.	Политики учетной записи
7.7.1.	Установка политик учетных записей
Политики учетной записи должны быть сконфи1урированы в GPO с наивысшим приоритетом, связанным с доменом. По умолчанию, GPO с наивысшим приоритетом называется Default Domain Policy GPO. Как только будет получен доступ к Default Domain Policy GPO или другому надлежащему GPO, можно установить политики учетных записей с помощью этих действий:
1.	В утилите Редактор управления групповыми политиками (рис. 7.3) разверните узел Политики учетных записей, находящийся в узле Конфигурация компьютера\Конфигурация Windows\napaMerpbi безопасности. Дерево консоли покажет имя настраиваемого компьютера или домена. Убедитесь, что выполняется настройка нужного сетевого ресурса.

Глава 7. Управление учетными записями пользователя и группы
Фейа Действие Вид Окно Слоавка » т X Вт
а Управление групповой политиков
“ £ Лес: еытр'е стхп
* Л Домен»
» । ewno'e сот
. Defauft Domain ВД<у
* . Domam Controflen
•k Default Domain Controller» Pt Объест» группе», й политики
» Фильтры WMi
Э Начальные объекты групповод bj Сайты
<> Моделирование групповой политик;
Результаты тэупповой политики
Defeutt Domain Policy
О«лесть Сведения Параметры Делегированы*
Редактор управления групповыми пол*ъ*иыи
Поймать евлзиврв Файл ДеАпие Вид Слрмка
Q -
С GPO свлзамы слых
Фильтры беэолес
Параметры данного елшуюцга групп, гх
Ооъьчт GPO с»лз-1
А Политика Default Domain fc:icy ГА * Имя	Описание
- * КОНЬ. гураиил компьютера	J Политика паролей	Политика паролей
•Политики	4 Политика блокировки учетной_ 'кимглка блокировки учетной зал.
К « .» и* »ы>	По^кст»™.
м Конфигурация Windows
Политика разрешения
£. Сценарии (мпуск/мве»
* Развернутые принтер»
м 11 Параметры безопасной jg Политики учетных» J Локальные политик» J Журнал событий
> * Группы с ограничен!
4 Системные службы _4 Реестр
 « Файловая система Sf Политики проводк» Монитор Ьрандмауз Политики диспетчер
> Й Политики беслрсао'
«отсутствует»
Рис. 7.3. Редактор управления групповыми политиками
2.	Теперь можно управлять политиками учетных записей с помощью узлов Политика паролей, Политика блокировки учетной записи и Политика Kerberos. Чтобы настроить политику, дважды щелкните по ней или щелкните правой кнопкой мыши и выберите команду