Практически все объекты Active Directory поддерживают стандартный набор операций: создание, удаление, изменение свойств, переименование, перемещение в другой контейнер и т. п. Часть этих операций была рассмотрена выше, т. к. их выполнение существенным образом зависит от типа объекта (создание, свойства и т. п.). В этом разделе будут рассмотрены те операции, выполнение которых не зависит от типа объекта.
Помимо общих операций, окна свойств большинства объектов Active Directory содержат стандартный набор вкладок. Внешний вид вкладки Общие зависит от типа объекта, поэтому изменяемые на ней атрибуты были рассмотрены выше. Вкладка Управляется для всех объектов Active Directory идентична и будет рассмотрена в этом разделе.
Включение режима дополнительных функций.
По умолчанию вкладки Объект и Безопасность не отображаются в окнах свойств объектов Active Directory. Чтобы получить к ним доступ, необходимо включить режим дополнительных функций - в меню Вид консоли управления Active Directory - пользователи и компьютеры установите флажок Дополнительные функции.
Режим дополнительных функций сохраняется при закрытии консоли управления, и при следующем запуске консоли его включение не требуется.
Общие свойства.
Окна свойств всех объектов Active Directory, за исключением учетных записей пользователей и контактов, содержат вкладку Управляется, которая предназначена для указания пользователя, ответственного за управление объектом.
При помощи сведений, приведенных на этой вкладке, пользователи могут узнать, с кем и как можно связаться по поводу изменения свойств или управления объектом. Если указан пользователь или контакт, ответственный за управление объектом, то основные сведения, необходимые для того, чтобы связаться с ним, выводятся на вкладке Управляется. Полные сведения о пользователе можно просмотреть, щелкнув кнопку Свойства.
Для изменения пользователя, ответственного за управление объектом, щелкните кнопку Изменить и выберите нужного пользователя в появившемся окне. Чтобы удалить информацию об управлении объектом, щелкните кнопку Удалить.
Если у объекта нет сведений об управляющем им пользователе, то принято считать, что это пользователь, управляющий родительским объектом.
Вкладка Объект присутствует у всех объектов Active Directory при включенном режиме дополнительных функций и позволяет узнать, когда был создан и изменен объект, а также его полное имя в каталоге Active Directory.
Поля Исходный USN и Текущий USN отвечают за репликацию объекта на другие контроллеры домена. Каждый контроллер домена имеет свой собственный счетчик USN (Update Sequence Number, последовательный номер обновления). При создании объекта ему присваивается текущий USN контроллера домена, после чего последний увеличивается на 1. При изменении значения атрибута объекта USN контроллера домена увеличивается на 1 и записывается как текущий USN объекта. При изменении нескольких свойств USN увеличивается на единицу при изменении каждого свойства.
Каждый контроллер домена имеет информацию о последнем USN всех остальных контроллеров домена, полученном во время последней репликации. При очередной репликации запрашивается текущий USN контроллера домена. Если значение USN изменилось с момента последней репликации, то запрашивается репликация всех изменений с USN больше предыдущего. Это позволяет значительно уменьшить трафик репликации, т. к. реплицируются только те атрибуты объектов, которые были изменены.
Вкладка Безопасность присутствует у всех объектов Active Directory при включенном режиме дополнительных функций и позволяет управлять разрешениями для объекта.
Переименование.
Имена объектов каталога Active Directory нельзя изменить через окна их свойств. Чтобы переименовать объект, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект правой кнопкой мыши и в контекстном меню выберите Переименовать. Также можно выделить объект и нажать клавишу F2.
Процесс переименования осуществляется в два этапа. На первом вы изменяете или вводите заново имя объекта и нажимаете клавишу Enter. На втором этапе для большинства объектов будет предложено исправить ряд атрибутов, связанных с именем объекта.
Например, для учетной записи пользователя будет предложено исправить Фамилию, Имя, Имя для входа. Обычно окно, отображаемое при переименовании объекта, аналогично окну, отображаемому при создании нового объекта того же типа.
Переименование объекта абсолютно безопасно, т. к. при этом не изменяется ни один из внутренних идентификаторов объекта. Так как при ссылке одних объектов каталога на другие (допустим, при включении пользователей в группы) используются идентификаторы безопасности или GUID, то при переименовании объект не теряет своих связей с другими объектами.
Перемещение в контейнер.
При реструктуризации каталога возникает необходимость перемещения объектов из одного контейнера Active Directory в другой. Для этого в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект (или несколько объектов) правой кнопкой мыши и в контекстном меню выберите Переместить.
В появившемся окне отображаются все контейнеры текущего домена, выберите нужный и щелкните кнопку ОК.
Перемещение объекта абсолютно безопасно, т. к. при этом не изменяется ни один из внутренних идентификаторов объекта. Так как при ссылке одних объектов каталога на другие (допустим, при включении пользователей в группы) используются идентификаторы безопасности или GUID, то при перемещении объект не теряет своих связей с другими объектами. Однако при выборе контейнера, в который будут перемещены объекты, принимайте во внимание системные политики, действующие в нем на объекты.
Удаление.
Чтобы удалить объект каталога, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект правой кнопкой мыши и в контекстном меню выберите Удалить. Также можно выделить объект и нажать клавишу Delete. После дополнительного подтверждения объект будет удален.
Будьте внимательны при удалении объектов - в Active Directory это необратимый процесс.
Будьте осторожны при удалении учетных записей пользователей, компьютеров и групп - эти объекты имеют уникальный идентификатор системы безопасности, который используется при назначении разрешений и привилегий. При удалении пользователя и создании нового пользователя с тем же именем и теми же атрибутами будет утеряна вся информация о его членстве в группах и разрешениях, назначенных непосредственно пользователю. Поэтому не удаляйте учетные записи пользователей, которые давно не регистрировались в сети. Если есть вероятность того, что пользователь может продолжить работать в сети, отключите его бюджет - при необходимости вы сможете его включить.
Прочие операции.
Каталог Active Directory является расширяемым, поэтому при установке различных программных продуктов в нем могут появляться не только новые объекты, но и новые классы объектов. Кроме того, различные продукты могут добавлять функции в консоли управления Active Directory. Например, Microsoft Exchange Server 2000 не только расширяет схему Active Directory (внося в нее порядка 800 изменений), но и добавляет новую функциональность в консоль управления Active Directory - пользователи и компьютеры - в контекстные меню добавляются новые команды, а в окна свойств - новые вкладки.
Обычно все операции, изменяющиеся в зависимости от типа объекта и установленных дополнительных программных продуктов, сгруппированы в верхней части контекстного меню, вызываемого щелчком объекта правой кнопкой мыши. Кроме того, все возможные операции над объектом, включая реализуемые дополнительными программными продуктами, сгруппированы в подменю Все задачи.
Поиск объектов.
Для упрощения работы с каталогом Active Directory консоль управления Active Directory - пользователи и компьютеры позволяет осуществлять поиск объектов по различным критериям в пределах определенного контейнера. Чтобы вызвать окно поиска объекта каталога, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните контейнер, с которого хотите бы начать поиск, правой кнопкой мыши и в контекстном меню выберите Найти.
В появившемся окне задайте часть имени объекта (в поле Имя) и/или описания объекта (в поле Описание). Поиск осуществляется по начальным символам введенной строки. В раскрывающемся списке Найти вы можете указать, объекты каких типов требуется увидеть в результатах поиска.
По умолчанию поиск осуществляется в контейнере (включая подчиненные), для которого вы вызвали операцию поиска, но можно изменить область поиска при помощи раскрывающегося списка В или кнопки Обзор.
При необходимости можно задать расширенные условия поиска, перейдя на вкладку Дополнительно окна поиска.
Для задания условия поиска щелкните кнопку Поле, после чего выберите интересующее вас поле объекта, которое должно быть включено в условие. В раскрывающемся списке Условие выберите условие, по которому будет проверяться значение выбранного поля. В поле Значение введите значение, на соответствие которому будет проверяться выбранное поле. После того как условие поиска сформировано, щелкните кнопку Добавить. При поиске все условия в списке объединяются логической операцией И.
После того как вы задали все необходимые условия и область поиска, щелкните кнопку Найти. В зависимости от того, осуществляется поиск в пределах одного домена или нет и задействованы ли в условиях поиска атрибуты объектов, публикуемые в ГК, процесс поиска может занять от нескольких секунд до нескольких минут. В процессе поиска найденные объекты отображаются списком в нижней части окна поиска.
Вы можете остановить поиск, щелкнув кнопку Остановить. Кнопка Очистить все очищает список результатов поиска и все условия поиска, возвращая окно поиска в исходное состояние.
Вы можете выполнять многие операции над найденными объектами, не покидая окна поиска, прямо из списка с результатами поиска. Все необходимые для этого операции содержатся в контекстном меню найденных объектов.
