Что является доменным именем компьютера
Любая сеть, локальная или глобальная, имеет сложную структуру и построение. При этом каждый компьютер, который подключается к сетке имеет свое уникальное доменное имя компьютера (в глобальной сети это понятие можно отнести не к наименованию компьютера, а к имени сайта), которое можно сравнить, например, с фактическим адресом проживания любого человека и его непосредственным именем, фамилией и отчеством.
Таким образом, чтобы отыскать в сети определенное устройство, идентифицировать его, просмотреть о нем информацию, использовать его ресурсы, необходимо знать лишь его имя и случае наличия прав доступа использовать его ресурсы или информацию, размещенную на нем.
Изменить файл /etc/krb5.conf указав название своего домена вместо DOMAIN.COM и своего контроллера домена
Обратить внимание на регистр написания имени домена. Везде, где домен был написан в верхнем регистре, его обязательно нужно писать именно в верхнем регистре.
Проверить, что мы можем авторизоваться в домене. Для этого выполнить команду
Вместо username вписать имя существующего пользователя домена. Имя домена необходимо писать заглавными буквами! Если не получили никаких ошибок — значит вы настроили всё верно и домен отдаёт вам билет Kerberos. Убедиться в том, что билет получен, можно выполнив команду
Удалить все билеты
Настройка клиентской машины Windows XP и добавление ее в домен.
Управления/Сеть и подключение к Интернету/Сетевые подключения
Далее нажмем правой кнопкой мыши на “Подключение по локальной сети” и “Свойства”. Выделяем строчку “Протокол Интернета (TCP/IP)” и нажмем “Свойства”.
Вписываем статистический адрес, маску подсети и DNS-сервер(ip нашего сервера), как показано на скриншоте и жмем “ОК” и “Закрыть”.
Все, настройки адаптера на этом завершены. Теперь проверим, есть ли у нас сеть между сервером и клиентской машиной. Для этого открываем “Пуск” и нажимаем на “Выполнить”.
Далее вводим команду cmd и жмем “ОК”.
Откроется консоль, и там мы вводим команду ping 192.168.1.12(192.168.1.12 – ip нашего сервера) и жмем “ОК”.
Как можно увидеть на рисунке, пакеты и посылаются и принимаются, а это значит, что наша сеть работает.
Если сервер не пингуется, рекомендуется проверить параметры сетевого адаптера, как на сервере, так и на клиентской машине. Если используется Vmware, то проверить настройки сетевого адаптера vmware(первый пункт методического пособия).
Теперь добавим нашу машину в домен. Для этого идем по адресу Пуск/Мой Компьютер, нажимаем правой кнопкой мыши на любом свободном месте и жмем на “Свойства”
Теперь переходим на вкладку “Имя Компьютера”, жмем на “Изменить” и в поле “Домена” пишем название нашего домена.
Выскочит форма для ввода логина и пароля.
Введем ранее созданного пользователя (Логин: User1, Пароль: 123-=qwerty) и жмем “Ок”. Если вы сделали все правильно, то увидите следующее сообщение.
Теперь вас попросят перезагрузить компьютер. Жмем “Ок”. Войдем в домен. Для этого, при входе в систему, нажмите на “Параметры” и из выезжающегося списка выберите наш домен.
Теперь вводим логин и пароль созданного профиля. Все, мы вошли в домен под нашим перемещаемым профилем. Проверим перенаправление папок, для это пройдем Пуск/Мой Компьютер и далее слева нажмем на Сетевое окружение.
Нажимаем “Вся сеть”
.
Жмем на Microsoft Windows Network и жмем на наш домен .
Далее мы увидим список компьютеров в сети .
Заходим в папку нашего сервера и в папку Allmyprofiles и видим папки всех профилей созданных на сервере, но доступ имеем только к папке нашего профиля и к перенаправленным папкам .
На этом настройка клиентской машины окончена.
§10 Установка DHCP(Dynamic Host Configuration Protocol-протокол динамической конфигурации узла).
DHCP ( Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) — это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к так называемому серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве крупных (и не очень) сетей TCP/IP.
Помимо IP-адреса, DHCP также может сообщать клиенту дополнительные параметры, необходимые для нормальной работы в сети. Эти параметры называются опциями DHCP. Список стандартных опций можно найти в RFC 2132.
Некоторыми из наиболее часто используемых опций являются:
§ IP-адрес маршрутизатора по умолчанию;
§ адреса серверов DNS;
Некоторые поставщики программного обеспечения могут определять собственные, дополнительные опции DHCP.
Для установки перейдем по адресу Пуск/Администрирование/Диспетчер сервера/Роли и нажмем на “Добавить роли”. Затем жмем “Далее” и ставим галку напротив “DHCP-сервер”
.
Нажмем “Далее”. На следующем этапе жмем “Далее” .
На следующем этапе нужно привязать ip-адрес сервера, для этого поставим напротив него галку и нажмем “Далее”
На следующем этапе, нужно ввести имя домена и DNS-сервера .
Нажмем “Далее”. На следующем этапе нам предлагают выбрать, использовать Wins-сервер или нет.
Т.к. он у нас не установлен, то поставим галку напротив “Wins не требуется для приложений в этой сети” и жмем “Далее”. На следующем этапе нужно ввести диапазон IP-адресов сети, которые сервер будет распределять между клиентами . Для этого нажмем “Добавить” и введем следующие значения :
Имя области – может быть любым. Введем, например, All Ip
Начальный IP-адрес и Конечный IP-адрес – адреса от которых и до которых будут распределяться IP-адреса. Введем начальный 192.168.1.30 и конечный 192.168.1.60.
Маска подсети – должна подходить для вашего диапазона. Введем 255.255.255.0.
Основной шлюз – не обязательный параметр, поэтому оставим пустым.
Тип подсети – срок аренды ip-адресов. Поставим “Проводной”
Жмем “Далее”. На следующем этапе Активируем второй вариант .
Нажмем “Далее”. На следующем этапе оставляем как есть и жмем “Далее” .
На последнем этапе выводится все настройки, которые мы в ходе установки ввели.
Жмем “Установить”. Установка завершена
Теперь нужно сбросить настройки “Подключение по локальной сети” у клиентской машины, для получения динамического IP-адреса. Для начала нам нужно зайти на клиентскую машину под ее учетной записью(при входе в домен с клиентской машины, многие приложения будут не доступны). Теперь на клиентской машине пройдем по следующему адресу Пуск/Панель Управления/Сеть и подключение к Интернету/Сетевые подключения. Жмем правой кнопкой мыши по “Подключение по локальной сети” и выбираем “Свойства”. Нажмем “Протокол Интернета (TCP/IP)”и на “Свойства” и поставим “Получить IP-адрес автоматически”.
Жмем “ОК” и “Закрыть”. Теперь проверим, получила ли наша клиентская машина динамический IP-адрес. Для этого открываем Пуск, жмем на «Выполнить». Вводим cmd. В консоли вводим команду ipconfig /all и видим, что сервер выделил ip-адрес 192.168.1.40
Теперь проверим это на сервере. Для этого перейдем по адресу Пуск/Администрирование/DHCP и перейдем к папке “Арендованные адреса” и видим ip и имя нашей клиентской машины.
§11 Создание иерархии пользователей на примере.
Рассмотрим создание иерархии пользователей на примере вымышленного предприятия «PetroGroup».
Для начала создадим соответствующее подразделение в нашем домене(о создании домена и подразделения читайте выше):
В подразделении создадим для примера два вложенных подразделения: «Бухгалтерия» и «ОтделКадров».
Дальнейшая работа будет производиться с подразделением «Бухгалтерия», подразделение «ОтделКадров» нужно будет заполнить пользователями самостоятельно.
Создадим простого пользователя в нашем подразделении. (имя — Петров, логин — petrov)
Создадим второго пользователя, который в дальнейшем будет администратором в данном подразделении. (имя – admin1, логин – admin1)
Создадим для нашего пользователя группу безопасности «Buhgaltery» (в перспективе в группу могут входить все остальные рядовые пользователи, кроме администратора подразделения)
Добавим нашего пользователя «Петров» в эту группу. Кликнем по профилю «petrov» правой клавишей, далее выберем «добавить в группу» и напишем название нужной группы «Buhgaltery».
Теперь создадим папку нашей компании «PetroGroup» на Локальном диске с двумя вложенными папками с соответствующими названиями.
Далее создадим дополнительно папку «PetroProf», в которой будут храниться все наши профили.
Далее нам нужно открыть общий доступ папки «PetroProf», а также записать как совладельцев группу «Buhgaltery».(в дальнейшем каждую дополнительно созданную группу нужно будет добавлять как совладельца, если мы хотим чтобы профили пользователей добавляемой группы хранились именно в этой папке)
Далее запоминаем сетевой адрес открытой папки и прописываем его как путь к профилю для нашего пользователя admin1.
Повторите операцию для второго пользователя «Петров».
Всё, профили пользователей созданы, теперь можно приступить к созданию рабочих папок пользователей, общей рабочей папки и папки администратора в папке «Бухгалтерия». Это позволит пользователям хранить нужные документы в своих папках и знакомиться с необходимыми документами в общей папке (открытыми только для чтения). Администратору же такая структура позволит просматривать все рабочие папки с наименьшими затратами времени.
Создадим две папки в папке «Бухгалтерия», соответственно для каждого из пользователей.
Теперь нам осталось только распределить права доступа для каждой из папок так, чтобы админ мог управлять всеми папками, пользователи только своей, а также могли заходить в Общую папку, открытую только для чтения.
Для распределения прав доступа нужно зайти в свойства папки и выбрать вкладку «Безопасность».
В свойствах безопасности нажимаем кнопку «Изменить…»
Добавим в список пользователей нашего администратора admin1 и назначим ему полный доступ.
Для группы «Buhgaltery» же полностью запретим доступ к папке администратора, чтобы ни один из пользователей не смог попасть в папку администратора.
Примечание: Распределяя права доступа, помните, что операция запрета доступа имеет высший приоритет, по сравнению с операцией разрешения доступа.
Теперь пробуем зайти под каждым из пользователей и смотрим какие права есть у каждого, для примера можно попробовать открыть каждую из папок пользователей и общую папку, далее в тех папках, которые будут доступны попытаться создать любой документ.
Скрытие общей папки.
Если нам нужно скрыть общую (с открытым общим доступом) папку, нужно в конце её имени поставить знак доллара «$».Рассмотрим скрытие общей папки на примере:
Созданы две папки, открыт общий доступ у каждой папки с одинаковыми параметрами доступа. В конце имени второй папки «Петя» поставим знак доллара.
Так выглядят наши папки в окне проводника. Можно заметить, что папка со знаком доллара не видна, по сравнению с остальными.
Примечание: Тот факт, что папка не видна в проводнике не означает, что папка не существует, и зайти на неё по-прежнему можно, для этого нужно просто прописать имя папки в адресной строке, не забыв добавить «$» в конце имени.
Примечание: администратор домена/сервера имеет возможность добавлять любых пользователей в группы администраторов/операторов сервера.
Для этого необходимо, зайдя под администратором домена, добавить нужного нам пользователя в группу, наделённую полномочиями, которыми мы хотим наделить нашего пользователя. В нашем примере мы добавим пользователя admin1 в группу «Операторы учета».
После успешного завершения операции добавления, попробуем зайти под нашим пользователем на сервер. Выберем на экране выбора пользователя «Другой пользователь», введём логин пользователя и соответствующий пароль.
Если все операции были выполнены корректно, система настроит личные параметры для пользователя admin1.
Теперь мы можем управлять учётными записями сервера, заходя не только под администратором, но и под свежедобавленным пользователем admin1.
Можно создавать/удалять пользователей, распределять права доступа и т.д.
На этом скриншоте показана завершённая операция добавления пользователя Иванов в группу «Buhgaltery» пользователем admin1.
Выполнив данный пример, можно проверить работу перенаправления папок (при условии создания перенаправляемых папок – пункт 8 методички).
Для этого нужно:
— зайти под пользователем admin1 на сервер, создать любой документ на рабочем столе.
— зайти на клиентскую машину под пользователем admin1 и удостовериться в наличии ранее созданного документа на рабочем столе.
Таким образом демонстрируется работа перемещаемых папок.
Ознакомительная часть по созданию иерархии пользователей на этом заканчивается, для самостоятельной тренировки предлагается выполнить следующее задание:
1)Создать в подразделении «Бухгалтерия» и добавить в существующую группу «Buhgaltery» дополнительно одного простого пользователя, настроить для него права доступа таким образом, чтобы пользователь имел собственную рабочую папку в папке «Бухгалтерия», имел права только на чтение в Общей папке, как и все пользователи не имел доступа к папке администратора.
2)Создать аналогичную бухгалтерии структуру для подразделения «ОтделКадров», включающую в себя:
— несколько рядовых пользователей, имеющих свои рабочие папки, а также права на чтение Общей папки.
— группу безопасности для этих пользователей.
— администратора, имеющего доступ к папкам всех пользователей группы отдела кадров.
Заведение в домен без сети
Чтобы можно было заводить рабочие станции в домен при отсутствии сети , следует на контроллере домена (dс1.polygon.local) с правами Администратора запустить командную строку со следующими ключам, этим мы создадим файл данных для офлайнового ввода в домен:
C:Windowssystem32> hostname
C:Windowssystem32> djoin /provision /domain polygon.local /machine W7x64v2 /dcname dc1 /downlevel /savefile c:offlineoffline.txt
Provisioning the computer account…
Successfully provisioned [W7x64v2] in the domain [polygon.local].
Provisioning data was saved successfully to [c:offlineoffline.txt].
Computer account provisioning completed successfully.
The operation completed successfully.
См. скриншот для наглядного понимания:
После ввода данной команды формируется текстовый файл (Файл в кодировке base64 ) содержащий необходимые данные для того, чтобы компьютер мог войти в домен . Также в Active Directory создаётся объект компьютер для будущего клиента:
C:Usersekzorchik> dsquery computer -name W7x64V2
Теперь нужно передать данный файл (offline.txt) на рабочую станцию, которую будем подключать в домен без отсутствия сети любым способом .
Заходим на клиентскую рабочую станцию (W7x64V2) с правами Администратора (Допустим, скопировали в корень диска C:) и запускаем командную строку со следующими ключами:
C:Windowssystem32> hostname
C:Windowssystem32> djoin /requestODJ /loadfile c:offline.txt /windowspath %systemroot% /localos
Загрузка данных подготовки из следующего файла: [c:offline.txt] .
Запрос на автономное присоединение к домену успешно выполнен.
Для применения изменений следует перезагрузить компьютер.
Операция успешно завершена.
См. скриншот для наглядного понимания:
Если открыв свойства системы, видим, что станция ввелась в домен, но для применения изменений нужно перезагрузиться.
Перезагружаем её, подключаем сеть и заходим в домен polygon.local с доменной учётной записью. Вот собственно и всё, удачи.
Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:
Поблагодари автора и новые статьи
будут появляться чаще 🙂
Карта МКБ: 4432-7300-2472-8059
Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.
Через графический интерфейс
Открываем «Свойства системы» через «Панель управления» (Панель управления — Система), либо через меню «Пуск» — Правой кнопкой по «Компьютер» — Свойства.
Нажимаем «Изменить параметры».
В появившемся окне нажимаем кнопку «Изменить».
В разделе «Является членом» отмечаем — «домена», и вводим необходимое название домена. Нажимаем ОК.
Появится уведомление безопасности Windows, где нужно будет ввести имя пользователя домена, в который вводится компьютер, и его пароль. Пользователь должен обладать правами администратора в домене.
При успешном завершении данной процедуры появится соответствующее уведомление, а так же нужно будет перезагрузить компьютер (сервер).
