Archivio

Archivio per maggio 2009

Copie shadow

21 maggio 2009

Mi è capitato più volte di dover recuperare tramite copie shadow su windows 2003 server dei files e di verificare di non poter eseguire questa operazione perchè la schedulazione delle copie shadow stesse non funzionasse regolarmente negli intervalli richiesti.

Posto quindi questa breve guida che illustra come risolvere il problema:

da

C:\Windows\System32\

eseguire :

net stop vss
regsvr32 /s ole32.dll
regsvr32 /s vss_ps.dll
Vssvc /Register
regsvr32 /s /i swprv.dll
regsvr32 /s /i eventcls.dll
regsvr32 /s es.dll
regsvr32 /s stdprov.dll
regsvr32 /s vssui.dll
regsvr32 /s msxml.dll
regsvr32 /s msxml3.dll
regsvr32 /s msxml4.dll

To fix this problem do the following:

1. Backup the follwing regkey: HKLMSoftwareMicrosoftEventSystem{26c409cc-ae86-11d1-b616-00805fc79216}Subscriptions
2. Erase the regkey
3. Reboot.
4. Verify that things are working by running “vssadmin.exe list writers”.

Vi consiglio di leggere anche questo link:

http://blogs.technet.com/asksbs/archive/2008/04/23/troubleshooting-vss-and-backup.aspx

Share

Microsoft, Tips Linux e Microsoft

Mysql

19 maggio 2009

MySQL è probabilmente tra i più popolari database open source (stando al motto che campeggia sul sito “The world’s most popular open source database“, IL più popolare in assoluto). Certo è che, insieme a PostgreSQL, è tra i più quotati database a codice libero, in grado di trovare un impiego anche in ambiti aziendali (dove la gestione di milioni di records è richiesta) e di rubare fette di mercato ai più blasonati cugini (Oracle, SQL Server, ecc.). MySQL presenta la maggior parte delle caratteristiche che ci si aspetterebbe da un database professionale ma il presente post focalizza l’attenzione sull’installazione su un singolo pc, più che altro per scopi amatoriali o per testing. Non si fa menzione quindi di cluster, backup, ecc. ma una esauriente documentazione è disponibile sul sito (http://www.mysql.com/) assieme ad una versione enterprise (non più gratis in questo caso).

Dato che MySQL server è disponibile attraverso i repository ufficiali, possiamo facilmente installare i pacchetti che ci servono attraverso Synaptic (System -> Administration -> Synaptic Manager).

Click su “search” e cerchiamo per nome “mysql”. Ovviamente è sempre possibile l’alternativa da terminale:

sudo apt-get check mysql-server

sudo apt-get install mysql-server  (per installarlo)

Essenzialmente abbiamo bisogno del mysql-server package e delle sue dipendenze e con questa operazione, di fatto, installiamo MySQL. L’installazione dovrebbe avviare automaticamente il server, potete controllare con un:

ps -ef | grep mysql

da terminale e verificare che vi sia mysqld tra i processi attivi. Dal output vedrete anche la porta su cui il server è in ascolto (di default è la 3306).
A questo punto si aprono due alternative: fermarsi qua e gestire MySQL attraverso la riga di comando oppure installare le comode interfacce grafiche (GUI) per fare il lavoro sporco in maniera più amichevole.
Per chi sceglie la prima strada occorre avviare il server (ma dovrebbe già essere stato avviato come dicevo)

sudo /etc/init.d/mysql start

Buona cosa cambiare la password dell’utente root (di MySQL non del sistema)

mysqladmin -u root password *vostra-password*

mysql -u root -p

poi non rimane altro che loggarsi con la nuova password che vi verrà richiesta. Per la documentazione fare riferimento qui e alle pagine man dei comandi.

Dato che mi piacciono le cose comode, spendo qualche parola in più sull’alternativa grafica. Esistono due utili strumenti che possiamo installare per amministrare il nostro MySQL server attraverso una comoda interfaccia grafica: MySQL Administrator (per compiti di amministrazione) e MySQL Query Browser (per le operazioni su DB: select, update, insert, ecc.). Per entrambi è disponibile una guida in italiano qui.
Per installere questi due utili tools al solito si può procedere tramite terminale:

sudo apt-get check mysql-admin

sudo apt-get check mysql-query-browser

oppure tramite Synaptic. Una volta installati saranno disponibili nel menù Applicazioni (Applications -> Programming). Avviamo MySQL Administrator:

MySQL Administrator

Inizialmente l’utente root non ha nessuna password quindi il campo va lasciato vuoto. La porta è quella di default (3306). Ci sono già due DB presenti (vedi voce “Catalogs”) ma sono di sistema e non vanno toccati. Per iniziare a smanettare consiglio di seguire i seguenti passi:

  1. Selezionare “User Administration” poi “root” nello spazio in basso a sinistra e assegnate una password di vostra scelta all’utente (che va ovviamente memorizzata)
  2. Cliccare su “New User” nella stessa finestra e create uno user a vostro piacere.
  3. Cliccare su “Catalogs”. Nello spazio in basso a sinistra vedrete i database attualmente presenti sul server. Click con il tasto destro del mouse su uno dei DB nella lista e selezionate “Create Schema”.Create new schemaDate un nome al vostro nuovo DB (per es. test) e salvate le modifiche apportate.
  4. Selezionare di nuovo “User Administrator”. Selezionate lo user che avete creato al passo 2 nella lista in basso a sinistra e poi selezionate “Schema Privileges”. Selezionare il nuovo DB creato al passo precedente. Selezionare i privilegi che vogliamo assegnare al nostro user sul DB di prova (dato che è solo una prova potete selezionare tutte le voci). Click sulla freccetta per spostare i privilegi nella colonna “Assigned Privileges”.

Fatto questo lo user avrà la possibilità di operare liberamente sul DB che abbiamo creato, creando tabelle, definendo constraints ed eseguire query (previa una certa dimistichezza con SQL) utilizzando MySQL Query Browser (Applications -> Programming -> MySQL Query Browser)

MySQL Query Browser

dove “vostro-user” è il nome dello user creato al passo 2 e “vostro-db” è il nome del DB creato al passo 3.

Ultima nota da tenere presente. MySQL viene installato di default come servizio, vale a dire come programma che parte all’avvio del sistema. È probabile che sul vostro desktop questa configurazione non sia ottimale: se si tratta di un database di test che usate solo in locale potreste valutare di disabilitarlo come servizio ed evitare di avere la porta 3306 perennemente aperta in ascolto. Per disabilitare il servizio: menù System -> Administration -> Services togliete il flag alla voce relativa a MySQL e chiudete la finestra. Il servizio verrà chiuso immediatamente e rimmarrà chiuso anche ai successivi riavvii dovrete perciò avviare MySQL a mano ogni volta ne avrete necessità. Essendo un servizio, troverete lo script in:

/etc/init.d

per cui potete avviarlo da terminale con il comando:

sudo /etc/init.d/mysql start

e stopparlo con:

sudo /etc/init.d/mysql stop

In ogni momento potete verificare lo stato del server MySQL con i seguenti due comandi da terminale:

ps -ef | grep mysql

per controllare se MySQL è tra i processi attivi sul vostro pc oppure:

sudo netstat -tap | grep MySQL

per evidenziare le porte e connessioni aperte da MySQL (sempre che sia avviato).
Altre utili informazioni sono disponibili al seguente link:

http://help.ubuntu-it.org/7.04/ubuntu/serverguide/it/databases.html

Share

Tips Linux e Microsoft

Replica di Active Directory

17 maggio 2009

L’importanza della replica di Active Directory

Le prime versioni di Windows NT sono stati progettati come unico maestro ambienti di rete. Il controller di dominio primario (PDC) è stato incaricato di gestire la copia master del dominio database. Il PDC è pertanto responsabile per eventuali modifiche di replicare il controller di dominio di backup (BDC). In questi ambienti, le eventuali modifiche devono essere eseguite sul PDC che poi replicata queste modifiche al database di BDC. Che cosa questo significa è che nei casi in cui il PDC è disponibile, non sono state apportate modifiche al database di dominio. Da questa semplice riflessione, è chiaro che il maestro unico ambiente di versioni precedenti di Windows NT ha un limite, quando è venuto a garantire l’affidabilità e continuamente che le modifiche potrebbero essere apportate al database di dominio.

Nella maggior parte degli ambienti di rete, più di un controller di dominio deve esistere per fornire la tolleranza di errore e di migliorare l’affidabilità e le prestazioni. Tolleranza ai guasti è presente quando la continuità del business esiste quando un controller di dominio, non perché gli altri controller di dominio (s) per l’ambiente sono in grado di fornire le risorse di rete. Avendo più controller di dominio nel vostro ambiente di rete migliora le prestazioni in quanto il carico di elaborazione può essere distribuito a tutti i controller di dominio.

Active Directory è diverso dal design dei precedenti ambienti di dominio Windows NT perché è stata progettata per essere una soluzione scalabile, distribuito Multimaster replicato database. Informazioni sulle risorse di rete all’interno dell’organizzazione viene memorizzato all’interno del database di Active Directory. In aggiunta a questo, tutti i controller di dominio ospitante a pieno la replica di informazioni di dominio per il proprio dominio. I controller di dominio in Windows 2000 e Windows Server 2003 ambienti tenere una lettura / scrittura copia del database di Active Directory. I controller di dominio in questi ambienti, pertanto mantenere e gestire la replica di tutti gli oggetti di Active Directory (risorse di rete) che si trova nel dominio di cui è membro.

In Windows 2000 e Windows Server 2003 ambienti, in Active Directory terminologia, ciascun controller di dominio contiene una copia completa della propria partizione di directory. Un altro termine usato per riferirsi alla directory partizione contesto dei nomi. In ambienti Active Directory, un albero di directory contiene tutti gli oggetti di Active Directory nella foresta. Una foresta è il raggruppamento di due o più alberi di dominio o di domini che non hanno un comune contiguo namespace, che è, hanno dei nomi non contiguo. In Active Directory, l’albero delle directory è partizionato. Ciò consente di porzioni di albero per essere distribuiti ai controller di dominio in altri domini della foresta. Torna alla terminologia di Active Directory, la copia della partizione di directory che contiene tutti gli attributi per ogni partizione di directory oggetto è chiamato una replica. La replica su ciascun controller di dominio è leggere e scrivere gli attributi.

In Active Directory, le modifiche possono essere apportate al database di Active Directory su qualsiasi controller di dominio Active Directory in ambiente. Per superare i limiti del dominio Windows NT ambienti illustrato in precedenza, ciascun controller di dominio deve includere tutte le informazioni che sono state create o modificate in qualsiasi altro controller di dominio. La replica di Active Directory assicura che le informazioni o dati tra i controller di dominio resta aggiornato e coerente. La replica è il processo che assicura che le modifiche apportate a una replica su un controller di dominio vengono trasferite repliche sul resto del controller di dominio. E ‘la replica di Active Directory che garantisce che le informazioni di Active Directory ospitato dal controller di dominio è sincronizzato.

Il Multimaster ambiente di Active Directory elimina i controller di dominio come singoli punti di guasto a causa di un amministratore può eseguire modifiche al database di Active Directory su qualsiasi controller di dominio, e tali modifiche vengono replicate agli altri controller di dominio all’interno del dominio.

Quali informazioni vengono replicati in Active Directory

In Active Directory, ci sono alcune azioni che sono considerate di replica di Active Directory attiva. Le attività che attivano o avviare la replica di Active Directory è riassunta qui di seguito:

  • Quando un oggetto è creato.
  • Quando un oggetto è soppresso.
  • Quando un oggetto viene spostato.
  • Quando un oggetto è cambiato o modificato.

I controller di dominio in genere contengono le seguenti directory o partizione repliche contesto dei nomi repliche:

  • Configurazione: La configurazione di partizione o contesto dei nomi (NC), contiene gli oggetti che riguardano la struttura logica della foresta, la struttura del dominio, e la topologia di replica. Ogni controller di dominio nella foresta contiene una lettura / scrittura copia della partizione di configurazione. Eventuali oggetti memorizzati nella partizione di configurazione vengono replicate per ogni controller di dominio in ciascun dominio, e in una foresta.
  • Dominio: La partizione di dominio o di contesto dei nomi (NC), contiene tutti gli oggetti che vengono memorizzati in un dominio. Ogni controller di dominio in un dominio ha una lettura / scrittura copia della partizione di dominio. Oggetti nella partizione di dominio vengono replicati solo per i controller di dominio all’interno di un dominio.
  • Schema: Lo schema di partizione o di contesto dei nomi (NC), contiene gli oggetti che possono essere creati in Active Directory, e gli attributi che possono contenere questi oggetti. I controller di dominio in una foresta hanno una copia di sola lettura lo schema di partizione. Oggetti memorizzati nello schema di partizione vengono replicate per ogni controller di dominio in domini / foreste.
  • Domanda: La domanda di partizione è una nuova funzionalità introdotta in Windows Server 2003. Questa partizione contiene oggetti per applicazioni specifiche. Gli oggetti o dati che le applicazioni ei servizi di negozio qui può comprendere qualsiasi tipo di oggetto esclusi principi di sicurezza. Principi di sicurezza sono gli utenti, i gruppi e computer. La domanda contiene tipicamente partizione DNS zona di oggetti e dati dinamici provenienti da altri servizi di rete, come Remote Access Service (RAS) e Dynamic Host Configuration Protocol (DHCP).

Panoramica di Active Directory Replication Terminologia, Concetti e Oggetti

In Active Directory, sono numerosi i concetti, e gli oggetti che vengono utilizzati per creare una topologia di replica. Questi sono descritti di seguito:

  • Siti: Un sito può essere definito come un gruppo o una serie di Protocollo Internet (IP) sottoreti che sono collegati da un affidabile, veloce e poco costoso link. Questo è di solito una rete locale (LAN) o rete di area metropolitana (MAN). I domini possono avere i controller di dominio in più siti. Un sito può avere i controller di dominio di domini multipli. In Active Directory, i siti hanno i seguenti ruoli principali o le finalità:
    • Un sito determina il controller di dominio più vicino alla postazione di lavoro di accesso.
    • Un sito funziona come una replica di confine. Come una replica di confine, un sito ottimizza la replica tra i siti in quanto possono essere utilizzati per migliorare e gestire in modo più efficiente di replica di Active Directory.
    • Un sito funziona anche come una risorsa di localizzazione di confine. I clienti sono in grado di accedere alle risorse che sono accessibili in un determinato sito.
  • Collegamenti del sito: Sito link sono connessioni logiche che si è stabilita tra i siti di Active Directory che definiscono un percorso tra questi siti. Un sito link definisce la direzione di replica di Active Directory tra i siti. È possibile utilizzare uno RPC over IP o SMTP come protocollo di trasporto per lo spostamento di replica dei dati su un sito di link. Link del sito sono assegnati i seguenti:
    • Costo: Con la replica, il concetto di costo indica il costo del collegamento fisico tra due siti di Active Directory ed è utilizzata per il dettaglio ottimale collegamento tra percorsi di un sito e un altro sito. Quando un sito di legame è stato assegnato un costo, il tipo di connessione viene presa in considerazione. Per la replica, il più basso costo di collegamenti vengono utilizzati più di un costo più elevato collegamenti.
    • Intervallo: Replica su un link del sito avviene a intervalli di tempo predeterminato. Quando si assegnano la replica, è importante non per impostare il valore troppo alto o troppo basso. Un punteggio eccezionalmente elevato valore significa che le modifiche prendere un tempo più lungo per essere riprodotto, mentre un eccezionale valore più basso significa che anche la replica si verifica regolarmente.
    • Programma: Un programma di replica e l’intervallo sono fondamentalmente utilizzati insieme. Un intervallo è associato con un calendario. Un calendario con le offerte quando la replica dei dati sta per verificarsi.
  • Ponte di collegamento del sito: in Active Directory, è possibile utilizzare un sito di legame ponte per collegare i siti che hanno in comune i dati di Active Directory, ma che non hanno un sito di link. I dati generalmente condivisa da questi siti è la partizione di directory di applicazione.
  • Collegamento oggetti: in Active Directory, i controller di dominio specifico replicare con partner di replica. I partner che replicare con i controller di dominio sono definiti da oggetti connessione. Oggetto Connection consentire ai dati che devono essere replicate in Active Directory perché definire percorsi di replica in ingresso. I controller di dominio e dei relativi collegamenti sono definiti in una mappa della topologia. L’agente di replica directory (DRA) gestisce la replica tra i controller di dominio. Il Direttorio Replication Agent utilizza la connessione a oggetti in topologia mappa per scoprire quelle parti che sono rilevanti quando replicare le modifiche alla directory partizioni. Il DRA invia una richiesta di replica ai partner di un controller di dominio quando il controller di dominio deve aggiornare la propria copia di Active Directory. Gli amministratori possono creare manualmente la connessione oggetti, oppure possono lasciare questi oggetti per essere creato dal Knowledge Consistency Checker (KCC). Quando il KCC crea oggetti connessione, è un processo automatico. Il KCC gira su tutti i controller di dominio in Active Directory. In qualità di amministratore, è possibile creare una connessione manuale oggetto tra due controller di dominio in una foresta. Se si desidera che il flusso di dati in due direzioni, si dovrebbe creare due oggetti connessione. È possibile creare oggetti connessione manuale tra i controller di dominio nello stesso sito o in siti differenti. Il Knowledge Consistency Checker per default crea oggetti connessione automatica. Essa fa riferimento al sito di topologia e poi utilizza le informazioni sui siti e link del sito per creare automaticamente oggetti connessione. Il KCC controlla il sito topologia ad intervalli regolari per determinare se la connessione oggetti sono ancora valide, e quindi oggetti connessione modifiche sulla base delle sue recensioni. E ‘il KCC che è responsabile per certo che i dati nella directory partizioni sono replicati in siti. È possibile disattivare la creazione automatica di oggetti connessione per ogni sito e forestali a livello base.
  • Il sito Inter Topologia Generator (ISTG): Intersite oggetti connessione vengono creati dal sito Inter Topologia Generator (ISTG) e non KCC. Il primo controller di dominio in un sito ha il ruolo di generatore di topologia Inter sito. Vi è un solo ISTG entro un determinato sito. E ‘il ISTG che è responsabile di assicurare che il sito è una replica della configurazione, del dominio e dello schema delle partizioni.
  • SYSVOL dati e il servizio Replica file (FRS): Il volume di sistema contiene gli script e le politiche di gruppo. SYSVOL dati è ospitato su ogni controller di dominio. Modifiche al SYSVOL sono replicate al controller di dominio all’interno dello stesso dominio tramite Replica file System (FRS), la replica. Con la replica del servizio Replica file, l’intero file viene replicata e non solo il reale le modifiche apportate al file. Ciò differisce di replica di Active Directory. Con Active Directory solo le modifiche che sono state effettuate a oggetti di Active Directory vengono replicate.
  • Replica metodi / protocolli: replica di Active Directory può utilizzare uno dei due protocolli per l’invio di replica dei dati tra i controller di dominio:
    • RPC (Remote Procedure Call): Questo è il protocollo utilizzato da Active Directory per l’invio di replica dei dati. La funzionalità di crittografia RPC sono benefiche per replicare i dati in Active Directory in rete.
    • Simple Mail Transport Protocol (SMTP): SMTP è tipicamente utilizzata per l’invio di replica dei dati in massa, e per l’invio di dati attraverso la replica inaffidabili le connessioni di rete.

Tipi di replica di Active Directory

In Windows 2000 e Windows Server 2003, i tipi di replica di Active Directory che possono essere definiti sono intrasite la replica e la replica intersite.

Replica di Active Directory Intrasite

Intrasite replica in Active Directory si svolge tra i controller di dominio all’interno dello stesso sito. Questo rende intrasite uno semplice processo di replicazione. Quando vengono apportate modifiche alla replica di Active Directory su un controller di dominio, il controller di dominio contatti il resto del controller di dominio all’interno del sito. Il controller di dominio controlli alle informazioni in esso contenute informazioni contro ospitato dagli altri controller di dominio. Per eseguire tale analisi, il controller di dominio utilizza la sequenza logica dei numeri. Intrasite replica utilizza la RPC (Remote Procedure Call), il protocollo di trasmettere dati attraverso la replica veloce, affidabile le connessioni di rete. Con intrasite replicazione, la replicazione dei dati non compressi.

Replica di Active Directory Intersite

Intersite ha luogo la replica tra i siti. Intersite replica può utilizzare sia RPC over IP o SMTP per trasmettere la replica dei dati. Questo tipo di replica deve essere configurato manualmente. Intersite replica si verifica tra due controller di dominio che sono chiamati ponte o server testa di ponte. Il ruolo di un server testa di ponte (BS) è stato assegnato ad almeno un controller di dominio in un sito. Un BS in un sito si occupa di replicare i cambiamenti con altri BSS in diversi siti. È possibile configurare più server testa di ponte in un sito. E ‘solo che questi BSS replicare i dati con i controller di dominio in domini diversi da eseguire intersite BS replica con il suo partner. Con intersite replica, i pacchetti sono compressi per risparmiare larghezza di banda. Questo pone ulteriore carico della CPU sul controller di dominio assegnato il ruolo BS. BSS dovrebbero pertanto essere le macchine che hanno velocità sufficiente e processori per eseguire la replica. Intersite replica avviene su link del sito da un metodo che è il polling ogni 180 minuti per impostazione predefinita.

Avvio di replica di Active Directory tra i partner di replica diretta (costringendo replica)

Active Directory e di solito crea automaticamente cancella oggetti connessione tra i controller di dominio. Ci sono però casi in cui potrebbe essere necessario creare manualmente la connessione e poi oggetti vigore di replica di Active Directory. È possibile utilizzare uno dei seguenti strumenti o metodi per forzare la replica:

  • Active Directory Siti e servizi di console
  • Repadmin
  • Replmon

Topologia di replica di Active Directory Opzioni

La replica di Active Directory topologie tipicamente utilizzate sono:

  • Topologia ad anello: Con intrasite replica, il KCC crea una topologia ad anello che definisce la replica di percorsi all’interno di un sito. In una topologia ad anello, ogni controller di dominio in un sito ha due in entrata e in uscita partner di replica. Il KCC crea l’anello in modo che vi sia non superiore a tre luppolo tra i controller di dominio in un sito.
  • Full mesh Topologia: Questa topologia è tipicamente utilizzata in piccole organizzazioni in cui la ridondanza è estremamente importante, e il numero di siti è molto piccolo. Un pieno di maglia topologia è piuttosto costoso da gestire e non è scalabile.
  • Hub and spoke Topologia: Questa topologia è tipicamente attuata in organizzazioni di grandi dimensioni in cui è importante la scalabilità e ridondanza è meno importante. In questa topologia, uno o più hub esistono siti che sono più lente connessioni WAN ha parlato a più siti. L’hub di siti sono di solito collegati ad ogni altro attraverso collegamenti WAN ad alta velocità.
  • Hybrid Topologia: la topologia è ibrido di qualsiasi combinazione di quanto sopra topologie.

Come Definire un strategia di replica di Active Directory

La strategia di replica che si determina essenzialmente attuare quando si avrebbe la replica e il modo in cui le informazioni di Active Directory viene replicata. Progettare una efficace strategia di replica prevede le seguenti fasi:

  • Valutare il reale fisico connettività della rete: questa fase di progettazione in genere comporta la determinazione del sito i link che sono necessari nella rete. È necessario identificare il collegamento in rete, i controller di dominio e siti di determinazione. È necessario stabilire che:
    • I siti sono collegati da una bassa velocità di connessioni inaffidabili – elevato costo delle connessioni.
    • I siti sono collegati da connessioni veloci affidabili – connessioni a basso costo.
    • I siti sono collegati da connessioni medie velocità – costo medio di collegamenti.
  • Un altro componente di questa fase di pianificazione coinvolge determinare se sito link ponti devono essere create. Mentre la pianificazione quali siti sono necessari, si ricordi di inserire l’eventuale futura crescita della organizzazione.

  • Determinare il link del sito i parametri di configurazione per ogni connessione: La configurazione dei parametri o valori che devono essere specificati per ogni sito di legame è riassunta qui di seguito:
    • Nome del sito link
    • Il protocollo di trasporto da utilizzare per la trasmissione di replica dei dati. Questo può essere RPC o SMTP.
    • Sito collegamento costo: L’impostazione predefinita del sito link impostazione costo è di 100. Il valore può variare tra 1 e 32.767.
    • Replica l’intervallo o la frequenza
    • Replica calendario o quando la replica dovrebbe verificarsi.
  • Determinare il server testa di ponte preferito: Invece di utilizzare i server testa di ponte preferito, definita dal Knowledge Consistency Checker (KCC), è possibile scegliere di configurare manualmente il server testa di ponte preferito.
  • Determinare se sito link transitività dovrebbe essere disattivato: Se si sceglie di disabilitare transitività link del sito, è necessario creare manualmente sito link ponti tra i link del sito al fine di garantire sito link transitività.
Share

Microsoft

Comprensione unità organizzative

17 maggio 2009

Un sommario di unità organizzative (OU)

L’unità organizzativa (OU) è un contenitore che viene utilizzato per organizzare logicamente e di gruppo di Active Directory gli oggetti all’interno di domini. Unità organizzative non sono parte del DNS nomi. Essi sono utilizzati per organizzare gli oggetti di Active Directory in gruppi logici amministrative. Unità organizzative dunque servire come contenitori in cui è possibile creare e gestire oggetti di Active Directory. Unità organizzative sono considerati la più piccola unità che un amministratore può assegnare le autorizzazioni alle risorse all’interno di Active Directory.

L’UO ti consente di applicare politiche di sicurezza, installare applicazioni, delegare il controllo amministrativo di oggetti di Active Directory, e di eseguire script. Una cosa importante da capire è che non sono unità organizzative di protezione. L’account utente, account di gruppo, e gli account computer all’interno di unità organizzative sono i principi di sicurezza.

I tipi di oggetti di Active Directory che possono essere situate in unità organizzative sono di seguito elencati:

  • L’utente, gruppo e computer di oggetti; le cartelle condivise, stampanti, applicazioni e altre unità organizzative dallo stesso dominio.

Utente sono i principali oggetti di protezione utilizzati in Active Directory. Un oggetto utente è costituito da il nome utente, password, informazioni al gruppo, e le altre informazioni che definiscono l’utente. Un gruppo oggetto impedisce amministratori da impostare i singoli permessi utente. Una serie di utenti possono essere raggruppati, e quindi assegnato l’autorizzazione appropriata per oggetti di Active Directory. Un oggetto contiene informazioni su un computer che è un membro del dominio. Perché unità organizzative possono contenere altre unità organizzative, un amministratore può gerarchicamente gruppo di risorse e di altri oggetti di Active Directory in modo da riflettere la struttura dell’organizzazione. Il processo di aggiungere altre unità organizzative di unità organizzative in un modo gerarchico è denominato raggruppamento unità organizzative.

A pochi vantaggi di unità organizzative sono di seguito riassunte:

  • Unità organizzative possono essere nidificate a sostenere diversi livelli di gerarchia
  • Ogni dominio di Active Directory in ambiente può avere una propria struttura organizzativa. La struttura organizzativa di un dominio è indipendente da un altro dominio della struttura organizzativa.
  • È abbastanza semplice per modificare un struttura organizzativa. OU strutture sono molto più flessibili rispetto alle strutture di dominio.
  • UO di impostazioni di configurazione possono essere ereditato da oggetti in unità organizzative figlio.
  • Impostazioni dei Criteri di gruppo possono essere applicate anche alle unità organizzative
  • È possibile delegare il controllo amministrativo degli oggetti di Active Directory unità organizzative attraverso

Unità organizzative sono tipicamente utilizzati per delegare il controllo amministrativo di oggetti di Active Directory, per nascondere gli oggetti di Active Directory e per amministrare il Group Policy. Quando si delegare il controllo amministrativo su una OU, è consentire ad altri utenti o gruppi di amministrare la UO. La delegazione di effettivo controllo amministrativo viene di solito eseguita da amministratori di livello superiore. Delegazione di controllo sulle unità organizzative consente di trasferire i compiti di gestione ai vari utenti all’interno dell’organizzazione.

Le funzioni amministrative delegate che sono di solito sono di seguito elencati:

  • Creare, cancellare e gestire gli account utente
  • Creare, cancellare e gestire i gruppi
  • Reimposta password su account utente
  • Leggi tutte le informazioni per l’utente
  • Modificare la composizione di un gruppo
  • Gestione Criteri di gruppo di collegamenti

Gli amministratori che sono responsabili per le attività di gestione di dominio hanno il pieno controllo su tutti gli oggetti di Active Directory all’interno del dominio. Questa è la configurazione di default. Questi quindi gli amministratori di creare i controller di dominio, domini, e anche creare le UO per il dominio. Se non vi è unità all’interno della organizzazione che la gestione e la necessità di definire la propria struttura organizzativa, si può delegare l’autorizzazione di controllo completo per l’UO di queste persone. Ciò consentirebbe di queste persone a svolgere tutte le attività di gestione è già menzionato in precedenza per la particolare unità organizzativa. In altri casi, potrebbe essere necessario delegare il controllo solo per specifiche classi di oggetti per un OU.

Come accennato prima, O può anche essere utilizzato per nascondere gli oggetti di dominio sensibile a determinati utenti. Questo viene fatto attraverso la creazione di un’unità organizzativa per coloro oggetti di dominio che si desidera nascondere o non si desidera che tutti gli utenti di visualizzare, e quindi di assegnare solo gli utenti che devono avere la possibilità di visualizzare questi oggetti le necessarie autorizzazioni. Dopo le autorizzazioni appropriate siano configurate per l’unità organizzativa, tutto ciò che dovete fare è spostare il sensibili oggetti di Active Directory per l’UO.

I criteri di gruppo può essere definito come un insieme di permessi che si possono applicare a oggetti di Active Directory. Impostazioni dei Criteri di gruppo possono essere collegati a siti, domini e unità organizzative; e può valere sia per gli account utente, account computer e account di gruppo. Impostazioni dei Criteri di gruppo vengono applicati alle unità organizzative, in forma di oggetti Criteri di gruppo (GPO). L’oggetto Criteri di gruppo contiene le impostazioni dei Criteri di gruppo che possono essere applicati a utenti e computer in un’unità organizzativa.

Criteri di gruppo viene applicato nel seguente ordine:

  • Criteri del computer locale
  • Site policy
  • Dominio politica
  • UO di politica, che inizia con la casa madre OU

Active Directory, tuttavia includere un n. Sovrascrive l’impostazione e un blocco di successione che si possono utilizzare per controllare come vengono applicate politiche. Il n. Sovrascrive l’impostazione può essere attivata per interrompere una politica impostazione organizzativa di un bambino di sovrascrivere il genitore OU impostazione. Il Blocco Ereditarietà impostazione può essere in grado di impedire a un bambino OU, e gli oggetti che esso contiene, da ereditare impostazioni di Criteri di gruppo dalla sua madre OU.

Pianificazione uno Struttura organizzativa

Nella progettazione di uno struttura organizzativa, è necessario individuare e definire i seguenti:

  • Il modo in cui l’impresa è riuscita
  • La struttura organizzativa per ogni dominio
  • Le unità organizzative che devono essere create
  • Il modo in cui i criteri di gruppo deve essere applicato.
  • Le unità organizzative per le quali si intende delegare il controllo amministrativo, e gli utenti che si intende delegare il controllo di.
  • Il sensibile oggetti di Active Directory che si desidera nascondere da parte degli utenti.

La seguente strategia è generalmente raccomandato per una struttura organizzativa: è necessario creare un’unità organizzativa, con il risultato finale è che gli oggetti di Active Directory all’interno della UO sono amministrati da un unico gruppo. Questo vi permette di concedere il particolare il gruppo di diritti identici a tutti gli oggetti di Active Directory in particolare OU, e alla stessa unità organizzativa. È in linea di principio dovrebbe evitare un struttura organizzativa che i risultati dello stesso gruppo che necessitano di gestire gli oggetti nel corso di molti differenti unità organizzative. Ciò significa che gli opportuni diritti dovranno essere concesso singolarmente in ogni unità organizzativa.

E ‘anche una buona pratica di assegnare un proprietario di ogni unità organizzativa. Il proprietario della UO sarebbe il compito di svolgere i seguenti compiti di gestione:

  • Creare, cancellare e gestire le unità organizzative figlio
  • Applica criteri di gruppo
  • Delegare il controllo amministrativo su oggetti in UO

Si dovrebbe anche servizio admin oggetti separati dal resto del dominio oggetti. Nascondere servizio admin oggetti impedisce tutti gli utenti del dominio di visualizzare le proprietà e gli attributi, e consente anche di applicare criteri di gruppo in modo che solo gli utenti di servizi di amministrazione sono in grado di eseguire alcuni compiti amministrativi.

Creazione e gestione delle unità organizzative

L’Active Directory Utenti e computer di console nel menu Strumenti di amministrazione è utilizzato per creare unità organizzative. Quando si crea un OU, si dovrebbe essere prima di aggiungere in fondo ad un particolare dominio, e quindi si sarebbe aggiunta di oggetti di Active Directory che, delegando il controllo amministrativo per l’UO, o per l’applicazione di un oggetto Criteri di gruppo.

La finestra di dialogo Proprietà di una unità organizzativa è a pochi schede che vengono utilizzati per gestire le proprietà di una particolare unità organizzativa:

  • Scheda Generale: è possibile specificare una descrizione, indirizzo, città, stato o provincia, CAP o il codice postale, e il paese o la regione per l’UO di informazioni in questa scheda.
  • Gestito Con scheda: Questa è la scheda utilizzata per gestire le impostazioni del proprietario del OU. È possibile inserire le seguenti informazioni per il proprietario della UO: nome, sede, indirizzo, città, stato o provincia, regione o paese, numero di telefono, numero di fax. La scheda contiene anche i seguenti pulsanti:
    • Variazione: Puoi fare clic sul pulsante Cambia se si desidera impostare l’account utente, che sarà responsabile della gestione della UO.
    • Vedi: Se si desidera visualizzare o modificare le proprietà dell’account utente attualmente gestendo la UO, fare clic sul pulsante Visualizza.
    • Rimuovi: Se si desidera rimuovere un account utente, fare clic sul pulsante Rimuovi.
  • Scheda Criteri di gruppo: Questa scheda contiene i seguenti pulsanti:
    • Novità: Se si desidera creare un nuovo GPO per l’unità organizzativa, fare clic su questo pulsante.
    • Edit: Se si desidera modificare le attuali impostazioni di Criteri di gruppo, fare clic sul pulsante Modifica. Le impostazioni che possono essere specificati per un oggetto Criteri di gruppo vengono classificate le impostazioni in Configurazione computer e Configurazione utente impostazioni. Ognuno di questi è separato nelle seguenti categorie: Software, Windows, Modelli amministrativi.
    • Aggiungere: Se si desidera collegare un oggetto Criteri di gruppo per l’unità organizzativa, si dovrebbe fare clic su questo pulsante per creare il nuovo oggetto Criteri di gruppo link.
    • Opzioni: Se si desidera disattivare l’oggetto Criteri di gruppo, o per garantire che l’oggetto Criteri di gruppo del genitore non è OU prevalga l’oggetto Criteri di gruppo di un bambino O, fare clic su questo pulsante. Le opzioni disponibili sono Disattiva l’opzione, e il n. Sovrascrive opzione.
    • Elimina: se si desidera eliminare un oggetto Criteri di gruppo, fare clic su questo pulsante.
    • Proprietà: Se si desidera gestire le proprietà dell’oggetto Criteri di gruppo, fare clic su questo pulsante. La finestra di dialogo delle proprietà dell’oggetto Criteri di gruppo ha una scheda Generale, Collegamenti scheda e scheda Protezione. La scheda Generale è una sintesi pannello, e di un pannello Disattiva. È possibile visualizzare informazioni come il nome di oggetto Criteri di gruppo, e di creare e l’ultima data di modifica nel pannello Sommario. È possibile disattivare le impostazioni di configurazione del computer e Configurazione utente Disattivare le impostazioni nel riquadro. Il legame scheda elenca ciascun sito, dominio e organizzativa a cui il particolare oggetto Criteri di gruppo viene applicato. La scheda di sicurezza è il punto in cui impostare le autorizzazioni per l’oggetto Criteri di gruppo: Controllo completo, Lettura, Scrittura, Crea Oggetti figlio, Elimina Oggetti figlio, Applica criteri di gruppo.

Come creare un’unità organizzativa

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare e cliccate con il tasto destro del dominio appropriato, scegliere Nuovo, quindi fare clic su Unità organizzativa dal menu di scelta rapida.
  3. Nel Nuovo Unità organizzativa finestra di dialogo, immettere un nome univoco per la UO nella casella Nome.
  4. Fare clic su OK.
  5. Procedere alla clic con il pulsante destro della nuova unità organizzativa, quindi selezionare Proprietà dal menu di scelta rapida.
  6. Quando la finestra di dialogo Proprietà della UO si apre, inserire una descrizione per l’UO sulla scheda Generale.
  7. Fare clic sulla scheda Gestito da specificare un proprietario per l’UO.
  8. Fare clic sul pulsante Cambia e scegliere l’account utente desiderato dalla lista Utenti e Gruppi casella
  9. Fare clic sulla scheda Criteri di gruppo.
  10. Fare clic sul pulsante Nuovo per creare un nuovo GPO per l’unità organizzativa.
  11. Immettere un nome per l’oggetto Criteri di gruppo
  12. Procedere per configurare tutte le impostazioni di Criteri di gruppo per la UO utilizzando il resto della pulsanti disponibili sulla scheda.

Come creare una struttura organizzativa sensibili per nascondere gli oggetti di Active Directory

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare e cliccate con il tasto destro del dominio appropriato, quindi fare clic su Nuovo, quindi Unità organizzativa dal menu di scelta rapida.
  3. Nel Nuovo Unità organizzativa finestra di dialogo, immettere un nome univoco per la UO nella casella Nome.
  4. Fare clic su OK.
  5. Procedere alla clic con il pulsante destro della nuova unità organizzativa, quindi selezionare Proprietà dal menu di scelta rapida.
  6. Quando la finestra di dialogo Proprietà per l’unità organizzativa si apre, fare clic sulla scheda “Protezione”
  7. Procedere per rimuovere eventuali autorizzazioni per l’unità organizzativa.
  8. Fare clic sul pulsante Avanzate.
  9. Quando le Impostazioni avanzate di protezione finestra di dialogo per l’unità organizzativa si apre, deselezionare la casella di controllo Consenti autorizzazioni ereditabili dall’oggetto padre di propagare a questo oggetto ea tutti gli oggetti figlio casella di controllo. Fare clic su OK.
  10. Nella scheda Protezione, selezionare e assegnare le opportune il gruppo autorizzazione di controllo completo. Concedere l’autorizzazione di lettura per quei gruppi che dovrebbero essere in grado di leggere il contenuto della UO.
  11. Fare clic su OK
  12. È ora possibile spostare il sensibili oggetti di Active Directory per questa particolare unità organizzativa.

Come eliminare un OU

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera eliminare e scegliere Elimina dal menu di scelta rapida.
  3. Fare clic su Sì nella finestra di messaggio per verificare che si desidera eliminare questa particolare unità organizzativa.
  4. Fare clic su Sì se un’altra finestra di messaggio viene visualizzato, richiede di verificare che tutti gli oggetti situati nel OU dovrebbe essere soppresso.

Come modificare le proprietà di un’unità organizzativa

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera configurare le proprietà, e scegliere Proprietà dal menu di scelta rapida.
  3. Procedere per modificare le proprietà della UO sulla scheda Generale, gestito dalla scheda, e la scheda Criteri di gruppo.
  4. È inoltre possibile modificare l’oggetto Criteri di gruppo che è legata alla UO o le impostazioni dei Criteri di gruppo esistente dalla scheda Criteri di gruppo.

Come rinominare una OU

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera rinominare e scegliere Rinomina dal menu di scelta rapida.
  3. Immettere il nuovo nome per l’UO

Come spostare un UO in una nuova posizione

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio che contiene il organizzativa che si desidera spostare in una posizione diversa.
  3. Fare clic sulla OU e procedere con l’UO di trascinare nella nuova posizione.
  4. Rilasciare l’UO nella nuova posizione.

Come muoversi tra gli oggetti di Active Directory unità organizzative usando il drag and drop

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio che contiene l’UO che detiene l’oggetto che si desidera passare a una diversa unità organizzativa.
  3. Espandere l’unità organizzativa
  4. Clicca l’oggetto che si desidera spostare e procedere a trascinare l’oggetto di altre UO.
  5. Scollega l’oggetto nella nuova posizione organizzativa.

Come muoversi tra gli oggetti di Active Directory unità organizzative utilizzando ADUC Sposta Opzione

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio che contiene l’UO che detiene l’oggetto che si desidera passare a una diversa unità organizzativa.
  3. Espandere l’unità organizzativa, fare clic con l’oggetto e quindi scegliere Sposta dal menu di scelta rapida.
  4. Quando la finestra di dialogo Sposta, selezionare la nuova posizione organizzativa per l’oggetto.
  5. Fare clic su OK.

Come muoversi tra gli oggetti di Active Directory utilizzando le unità organizzative Dsmove strumento della riga di comando

È possibile utilizzare il Dsmove strumento della riga di comando per spostarsi tra gli oggetti di Active Directory unità organizzative, e di rinominare un oggetto di Active Directory.

Per utilizzare il Dsmove strumento della riga di comando di Active Directory per spostare gli oggetti da una posizione organizzativa ad una diversa posizione organizzativa,

  1. Fare clic sul pulsante Start, quindi fare clic su Prompt dei comandi.
  2. Inserisci dsmove con i parametri, al prompt dei comandi.

La sintassi del comando è:

dsmove ObjectDN [-NEWNAME NEWNAME] [-newparent ParentDN] [(-s Server |-d Dominio)] [-u NomeUtente] [-p (Password | *)] [-q] (-uc |-UCO |-UCI )

  • ObjectDN, il nome di Active Directory oggetto che si desidera passare a una diversa unità organizzativa.
  • -NEWNAME NEWNAME, rinominare oggetto di Active Directory
  • -newparent ParentDN, per la definizione del nuovo percorso a cui si desidera spostare l’oggetto di Active Directory.
  • (-s Server |-d Dominio), per il collegamento a un server remoto, o il dominio.
  • -u NomeUtente, il nome utente che l’utente utilizza per accedere al server remoto
  • [-p (Password | *), la password di quanto sopra specificato il nome utente.
  • -q, per la definizione di modalità di uscita
  • -uc, UCO,-UCI, per l’impostazione del formato Unicode

Come di delegare il controllo amministrativo di un’unità organizzativa

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare e fare clic destro e scegliere l’unità organizzativa Delegato di controllo dal menu di scelta rapida.
  3. La delegazione guidata del controllo lancia
  4. Fare clic su Avanti il benvenuto alla delegazione guidata del controllo pagina.
  5. Fare clic su Aggiungi utenti o gruppi pagina.
  6. Quando Seleziona utenti, computer o gruppi finestra di dialogo si apre, in Immettere i nomi degli oggetti da selezionare nella casella di riepilogo, inserisci l’utente / gruppo al quale si desidera delegare il controllo. Fare clic su OK. Fare clic su Avanti
  7. Quando i compiti delegato apre la pagina, effettuare una delle seguenti
    • Selezionare il Delegato Il comune Compiti seguito, quindi scegliere l’attività che si desidera delegare. Fare clic su Avanti. Completamento della Delega guidata del controllo pagina sarà visualizzato. I compiti tipicamente delegate sono elencati di seguito:
      • Creare, eliminare e gestire gli account utente
      • Reimposta password su Account utente
      • Leggi Tutto Informazioni utente
      • Creare, eliminare e gestire i gruppi
      • Modificare l’iscrizione di un gruppo
      • Gestione Criteri di gruppo Collegamenti
    • Selezionare Crea un’operazione personalizzata per eseguire la Delegato opzione e fare clic su Avanti.
  8. Quando il Tipo oggetto di Active Directory apre la pagina, eseguire una delle azioni elencate di seguito:
    • Selezionare la cartella, gli oggetti esistenti in questa cartella, e la creazione di nuovi oggetti in questa cartella se si desidera delegare il controllo amministrativo per l’UO, comprese tutte le attuali oggetti in OU, e se si desidera delegare il controllo amministrativo per tutti i nuovi oggetti che verranno creati nella OU.
    • Selezionare il solo i seguenti oggetti nella cartella opzione se si desidera delegare il controllo solo per alcuni oggetti in UO. Procedere a scegliere questi oggetti.
  9. È possibile limitare l’utente / gruppo a creare gli oggetti selezionati nel OU consentendo Crea gli oggetti selezionati in questa cartella di controllo.
  10. È inoltre possibile limitare l’utente / gruppo per l’eliminazione di oggetti selezionati nel OU consentendo Elimina gli oggetti selezionati in questa cartella di controllo. Fare clic su Avanti
  11. Quando si apre la pagina Autorizzazioni, attivare una delle seguenti caselle di controllo per visualizzare le informazioni nel permessi: box:
    • Generale, alla lista delle autorizzazioni generali nella permessi: scatola
    • Proprietà specifiche, alla lista di proprietà specifiche autorizzazioni in autorizzazioni: casella
    • Creazione / Eliminazione di oggetti specifici per bambini, per elencare tutti i permessi che si applicano all’oggetto in permessi: scatola
  12. Dopo aver popolato la permessi: casella di, impostare i permessi per l’utente / gruppo per l’unità organizzativa in permessi: casella. Fare clic su Avanti
  13. Verificare di aver selezionato le impostazioni corrette sul completamento La Delega guidata del controllo pagina.
  14. Fare clic su Fine.

Risoluzione dei problemi uno Struttura organizzativa

I problemi comuni che si verificano con OU strutture sono riportati di seguito:

  • Quando gli utenti che non dovrebbe essere consentito di svolgere compiti amministrativi su unità organizzative, sono in grado di eseguire compiti amministrativi, verificare che vi hanno delegato il controllo amministrativo per l’UO per il corretto utente o gruppo. Si consiglia di verificare l’utente o il gruppo specificato per il controllo amministrativo per ogni unità organizzativa all’interno del dominio.
  • Se uno OU contiene gli oggetti che hanno una serie di autorizzazioni applicate quando nessuno è stato definito per la particolare unità organizzativa, verificare che l’unità organizzativa non è permesso di ereditare le impostazioni da un genitore OU. La configurazione di default è che un bambino OU e gli oggetti che il bambino OU contiene, eredita automaticamente gruppo e altre impostazioni di autorizzazione dal suo genitore OU associati.
Share

Microsoft

Distribuzione di software tramite i Criteri di gruppo

17 maggio 2009

Quando Active Directory di Windows è stato avviato nel 2000, una delle sue principali caratteristiche di progettazione è stato quello di facilitare il processo di implementazione di software all’interno di una organizzazione. A tal fine, Microsoft ha incluso la possibilità di implementare e distribuire il software utilizzando Criteri di gruppo. IntelliMirror tecnologie comprendono i Criteri di gruppo per semplificare l’installazione del software necessario per la gestione di grandi quantità di utenti e computer. Il software di installazione e manutenzione del componente IntelliMirror tecnologie possono essere utilizzate per applicazioni di pubblicare in rete. Publishing è la terminologia utilizzata per rendere le applicazioni disponibili per l’installazione di oltre la rete. Il software di installazione e manutenzione di componenti possono essere utilizzati anche per installare automaticamente le applicazioni basate su alcuni criteri predefiniti su computer. Ad esempio, le applicazioni possono essere installate automaticamente sul computer, sulla base di specifici utenti o gruppi, o può essere installato automaticamente sul computer specificato. Il software di installazione e manutenzione di componenti possono essere utilizzati anche per disinstallare le applicazioni. Per rendere disponibili queste funzionalità, il software di installazione e manutenzione del componente IntelliMirror tecnologie interrelates con Criteri di gruppo e il servizio Active Directory.

Al fine di implementare il software con i Criteri di gruppo, si applicano le seguenti condizioni:

  • L’organizzazione deve essere in esecuzione Windows 2000 o Windows Server 2003 di dominio di Active Directory.
  • I computer client deve essere in esecuzione Windows 2000 Professional o versioni successive.

Quando si utilizza Criteri di gruppo per distribuire il software nel tuo dominio Active Directory, è necessario modificare sostanzialmente un oggetto Criteri di gruppo (GPO), oppure creare un nuovo oggetto Criteri di gruppo. L’oggetto Criteri di gruppo deve essere collegato a un sito, dominio o unità organizzativa (OU). Un oggetto Criteri di gruppo che è collegato a uno di questi componenti ha un nodo di installazione del software si trova sotto il nodo Configurazione computer, l’installazione del software e un nodo si trova sotto il nodo Configurazione utente. È possibile accedere a un GPO collegato a un sito, dominio o unità organizzativa, tramite l’Editor criteri di gruppo console. Il software di installazione nel nodo Editor oggetti Criteri di gruppo console può essere considerato il principale strumento utilizzato per distribuire il software. L’installazione del software consente, inoltre, il nodo di gestione centralizzata di implementazione iniziale del software e la rimozione del software. È inoltre possibile gestire centralmente gli aggiornamenti software, aggiornamenti rapidi, e le patch da questa posizione.

Distribuzione di software tramite i Criteri di gruppo comprende due tipi di distribuzione del software:

  • Assegnazione di applicazioni: è necessario assegnare le domande se alcuni utenti dovrebbero avere a disposizione le applicazioni, indipendentemente dalla effettiva computer l’utente è connesso al. Le domande che vengono assegnati sono pubblicizzati per l’utente sul menu Start e sono installati su iniziale. È possibile specificare che l’applicazione sia installata prossimo, quando l’utente accede alla workstation. La pubblicità è il processo mediante il quale l’applicazione è pronta per l’installazione. Quando i Criteri di gruppo viene utilizzato per distribuire il software, e il software è incluso nel GPO collegato a un sito, dominio o unità organizzativa, il software è denominato pubblicizzati per l’utente e il computer. Se sono la domanda di assegnazione di un utente, è necessario utilizzare il software di installazione sotto nodo nodo Configurazione utente, Impostazioni del software. Se siete di assegnare l’applicazione a un computer, è necessario utilizzare il software di installazione sotto nodo Configurazione computer, Impostazioni del software.

Il processo che si verifica quando l’assegnazione di applicazioni è riportato di seguito:

    1. Quando l’utente accede al computer client, il processo WinLogon pubblicizza l’application (s) nel menu di avvio, o sul desktop degli utenti.
    2. L’utente seleziona l’applicazione di uno di questi luoghi.
    3. Il servizio Windows Installer ottiene il pacchetto di Windows Installer per l’applicazione selezionata.
    4. La richiesta per il software è passato accanto al punto di distribuzione del software (SDP).
    5. Il servizio Windows Installer avvia, quindi installa il pacchetto di Windows Installer per la richiesta del software.
    6. Il servizio Windows Installer si apre l’applicazione per l’utente.
  • Pubblicazione domande: Quando un’applicazione viene pubblicato in Active Directory, la domanda è pubblicizzato per gli utenti nel Pannello di controllo, in Add / Remove Programs applet. Ciò significa che la domanda non viene installato automaticamente per l’utente, e l’utente effettivamente controlla se e quando l’applicazione viene installata. L’utente controlla anche la disinstallazione delle applicazioni.

Il processo che si verifica quando la pubblicazione di applicazioni è riportato di seguito:

    1. L’utente accede al computer client, e apre la Aggiungi / Rimuovi applet del Pannello di controllo.
    2. Aggiungi / Rimuovi applet riceve le informazioni su cui il software è disponibile per l’installazione di Active Directory.
    3. L’utente che procede per selezionare l’applicazione da installare.
    4. Aggiungi / Rimuovi applet ottiene la posizione del software da Active Directory.
    5. La richiesta per il software è passato accanto al punto di distribuzione del software (SDP).
    6. Il servizio Windows Installer avvia, quindi installa il pacchetto di Windows Installer per la richiesta del software.
    7. L’utente è ora in grado di accedere alle applicazioni installate.

In Criteri di gruppo, l’installazione del software utilizza il servizio Windows Installer per mantenere e gestire lo stato di installazione del software. Il servizio viene eseguito in background e che consente al sistema operativo (OS) per gestire l’installazione del software sulla base delle informazioni memorizzate nel pacchetto di Windows Installer.

Installazione software dei Criteri di gruppo Componenti

I componenti coinvolte nella distribuzione di software tramite i Criteri di gruppo sono discussi prossimo.

  • Pacchetto di Windows Installer: Questo è un file con un file. Msi proroga che contiene le istruzioni per l’installazione, la configurazione e la rimozione di software. I tipi di pacchetti di installazione di Windows sono:
    • Native pacchetto Windows Installer file: Questo tipo di pacchetto di installazione di Windows è stato sviluppato come componente del software. Il servizio Windows Installer può essere pienamente utilizzata. Il pacchetto di Windows Installer nativo file includono un prodotto che ha molte caratteristiche che possono essere installati singolarmente.
    • Riconfezionato file di applicazione: La differenza tra i due pacchetti che includono file riconfezionato domanda un prodotto che è stato installato come una funzione.
  • Transforms: Un altro termine usato per le modifiche si trasforma. A trasformare è fondamentalmente un registro delle modifiche che sono state apportate ai file del pacchetto originale. Transforms consentono di personalizzare i pacchetti di Windows Installer e la funzionalità di installazione quando si pubblica o assegnare l’applicazione. Attraverso trasforma, si possono includere funzionalità per l’installazione, e di escludere le caratteristiche per l’installazione. I tipi di file di personalizzazione che si possono configurare sono elencati di seguito. Trasformare un file. Mst estensione del file:
    • Trasforma file: Trasforma i file consentono di personalizzare l’installazione dell’applicazione.
    • Patch Files: Questi file sono un file. Msp estensione del file, vengono utilizzati per aggiornare i pacchetti di Windows Installer con ulteriori informazioni, e sono utilizzati per le seguenti finalità:
      • Software patch
      • Service Packs
      • Software Updates
  • Applicazione file: Questi sono file di testo con estensione. Zap estensione del file che includono le istruzioni su come pubblicare una domanda. A causa. Zap file non supportano Windows Installer funzioni, essi sono utilizzati per distribuire e installare le applicazioni che utilizzano la sua originale o Setup.exe Install.exe programma.

Pianificazione per la distribuzione del software utilizzando Criteri di gruppo

Quando la pianificazione per la distribuzione del software tramite i Criteri di gruppo, sono i seguenti:

  • Quando si prevede di implementare il software mediante criteri di gruppo, si dovrebbe comprendere il software requisiti della organizzazione nella vostra strategia. Valutare la struttura organizzativa in Active Directory e identificare oggetti Criteri di gruppo disponibili.
  • Definire il modo in cui le domande saranno dispiegati per gli utenti o computer. Sono le domande saranno pubblicate in Active Directory, o assegnati a utenti e computer?
  • Prova il modo in cui le applicazioni sono in corso da assegnare alla pubblicazione.

A pochi migliori pratiche e delle strategie da prendere in considerazione sono elencati di seguito:

  • Il software può essere implementato a livello di sito, dominio di livello, o livello di unità organizzativa in Active Directory. Si consiglia di distribuire il software in quanto l’alto in gerarchia di Active Directory o un albero come è possibile. Il software dovrebbe essere dispiegata vicino alla radice nella struttura di Active Directory, perché consente di utilizzare uno GPO per distribuire il software a più utenti.
  • È necessario implementare molteplici applicazioni con un singolo oggetto Criteri di gruppo, perché è più facile per gestire più applicazioni dallo stesso oggetto Criteri di gruppo che a gestire più oggetti Criteri di gruppo. Accesso utente è tempo anche perché meno accelerato oggetti Criteri di gruppo devono essere trattati.
  • Se si dispone di diversi utenti e computer che hanno bisogno di diverse applicazioni utilizzate, si dovrebbero creare unità organizzative in base a questi requisiti in materia di gestione del software, le necessarie utenti o computer in UO, quindi applicare l’oggetto Criteri di gruppo contenente il software che dovrebbe essere dispiegata.

Il processo per la distribuzione del software tramite i Criteri di gruppo

Il processo generale necessarie per distribuire il software tramite i Criteri di gruppo è riassunta qui di seguito:

  • Creare punti di distribuzione del software (DOCUP): Uno dei passi nella distribuzione di software è quello di garantire che gli utenti siano in grado di accedere ai file necessari. DOCUP sono le cartelle condivise in rete che contiene i file necessari per installare le applicazioni impiegate. Ogni utente che ha bisogno di implementare il software dovrebbe essere in grado di accedere al SDP. Le autorizzazioni NTFS dovrebbe essere di lettura ed esecuzione per l’SDP e le sottocartelle necessarie, in modo che gli utenti hanno i permessi per accedere alla cartella che contiene il pacchetto di installazione del software.
  • Creare un GPO per la distribuzione del software, e un oggetto Criteri di gruppo per la console di distribuzione del software: quando la distribuzione del software tramite i Criteri di gruppo, l’Editor oggetti Criteri di gruppo viene utilizzato per i seguenti compiti:
    • Configurare le opzioni di installazione del software di implementazione.
    • Assegnazione di applicazioni
    • Pubblica applicazioni
    • Aggiornamento delle applicazioni
    • Rimuovere applicazioni gestite.
  • Configurare la distribuzione del software di installazione per le proprietà dell’oggetto Criteri di gruppo: l’installazione del software di dialogo Proprietà contiene quattro schede che viene utilizzato per impostare le opzioni di configurazione per il software che dovrebbero essere impiegate:
    • Scheda Generale: Questo è il punto in cui impostare il percorso predefinito di tutti i pacchetti, impostare il valore di default per la pubblicazione o l’assegnazione, e impostare le opzioni di installazione interfaccia utente.
    • Scheda Avanzate: Questa scheda include opzioni quali la disinstallazione delle applicazioni automaticamente quando l’oggetto Criteri di gruppo non è più applicabile per l’utente o il computer, la memorizzazione Object Linking and Embedding (OLE) le informazioni in Active Directory, e consentendo a 64-bit client Windows per installare Windows 32-bit installazione delle applicazioni.
    • File Extensions scheda: È configurare le estensioni dei file che dovrebbe essere letta da applicazioni su File scheda Estensioni.
    • Categorie scheda: Applicazioni categorie servire un utile quando la tua organizzazione ha una grande quantità di applicazioni pubblicate. Le Categorie scheda consente di creare e organizzare le applicazioni per categoria, in modo che gli utenti sono in grado di individuare facilmente le applicazioni in Add / Remove Programs applet del Pannello di controllo.
  • Aggiungi l’installazione dei pacchetti per l’oggetto Criteri di gruppo: in questo passo, si aggiunge l’installazione dei pacchetti per l’oggetto Criteri di gruppo, e di specificare se la domanda deve essere assegnato o pubblicato per gli utenti e computer
  • Configurazione del pacchetto di Windows Installer proprietà: Una volta che un pacchetto di Windows Installer è aggiunto a un oggetto Criteri di gruppo, è possibile modificare le proprietà del pacchetto di modificare la categoria della domanda, se la domanda viene assegnato o pubblicato, configurare le impostazioni di sicurezza, e di aggiungere o rimuovere trasforma (modifiche). La finestra di dialogo Proprietà per il pacchetto di Windows Installer è possibile configurare il pacchetto di Windows Installer proprietà, utilizzando le schede qui di seguito elencati.
    • Scheda Generale: Questo è il punto in cui cambiare il nome predefinito del pacchetto. È anche possibile selezionare un supporto URL per indirizzare gli utenti a una pagina Web di supporto. Gli utenti possono scegliere il sostegno URL dalla Installazione applicazioni applet.
    • Distribuzione scheda: Sulla scheda di distribuzione, è possibile selezionare le impostazioni per le seguenti:
      • Tipo di distribuzione
      • Le opzioni di distribuzione
      • Opzioni di interfaccia utente di installazione
    • Aggiornamenti scheda: La scheda di vendita non è disponibile per i pacchetti che sono stati creati a partire dal file “domanda”, o. Zap file. La scheda è utilizzata per installare gli aggiornamenti. Il primo passo però è quello di creare un pacchetto di Windows Installer che contiene l’aggiornamento. Il secondo passo è configurare le impostazioni per l’aggiornamento della scheda Aggiornamenti.
    • Categorie scheda: si tratta di impostare l’applicazione in cui le categorie in modo che gli utenti possono facilmente trovare la domanda in Installazione applicazioni nel Pannello di controllo applet.
    • Modifiche scheda: Questo è il punto in cui personalizzare un pacchetto di installazione con l’aggiunta o la rimozione trasforma.
    • Scheda di sicurezza. È configurare gli utenti o gruppi, che dovrebbe essere in grado di accedere alla domanda sulla scheda Protezione.

Come creare un punto di distribuzione del software (SDP)

  1. Accedere al server di file che si desidera utilizzare come SDP.
  2. Creare la condivisione di rete per il software, e le necessarie cartelle per il software
  3. Le autorizzazioni che devono essere configurati sono elencati di seguito:
    • Administrators: Controllo completo
    • Tutti o Authenticated Users: Lettura
    • Dominio Computer: Leggi
  4. Copiare il software, inclusi tutti i file necessari e componenti per l’SDP.

Come creare o aprire un oggetto Criteri di gruppo e un oggetto Criteri di gruppo per la console di distribuzione del software

Per creare un nuovo oggetto Criteri di gruppo,

  1. Per creare e collegare un oggetto Criteri di gruppo a un sito, aprire Active Directory Siti e servizi. Per creare e collegare un oggetto Criteri di gruppo a un dominio o unità organizzativa, aprire Active Directory Utenti e computer di console.
  2. Fare clic col tasto destro del sito, dominio o unità organizzativa, quindi scegliere Proprietà dal menu di scelta rapida.
  3. Quando la finestra di dialogo Proprietà del sito, dominio o unità organizzativa si apre, fare clic sulla scheda Criteri di gruppo.
  4. Fare clic su Nuovo, immettere un nome per l’oggetto Criteri di gruppo.
  5. Fare clic sul pulsante Chiudi. L’oggetto Criteri di gruppo di default è collegata al sito, dominio o unità organizzativa in cui è stata creata.

Per aprire un dominio esistente o di livello GPO OU livello GPO,

  1. Aperto di Active Directory Utenti e computer di console.
  2. Fare clic col tasto destro del dominio o unità organizzativa nel riquadro a sinistra della console, quindi fare clic su Proprietà dal menu di scelta rapida.
  3. Fare clic sulla scheda Criteri di gruppo.
  4. In Collegamenti oggetto Criteri di gruppo, selezionare l’oggetto Criteri di gruppo e fare clic su Modifica.
  5. L’oggetto Criteri di gruppo viene aperto in Editor oggetti Criteri di gruppo console.

Per aprire un sito esistente livello GPO,

  1. Aperto di Active Directory Siti e servizi di console.
  2. Espandere il nodo Siti
  3. Fare clic col tasto destro del sito nel riquadro dei dettagli, e scegliere Proprietà dal menu di scelta rapida.
  4. Fare clic sulla scheda Criteri di gruppo.
  5. In Collegamenti oggetto Criteri di gruppo, selezionare l’oggetto Criteri di gruppo e fare clic su Modifica.
  6. L’oggetto Criteri di gruppo viene aperto in Editor oggetti Criteri di gruppo console.

Per creare un oggetto Criteri di gruppo di MMC,

  1. Fare clic sul pulsante Start, Esegui, digitare mmc nella finestra di dialogo Esegui, quindi fare clic su OK.
  2. Dal menu File, fare clic su Aggiungi / Rimuovi snap-in.
  3. Fare clic su Aggiungi nella Aggiungi / Rimuovi snap-in finestra di dialogo per l’accesso al Aggiungi / Rimuovi snap-in finestra di dialogo. Fare clic su Aggiungi.
  4. Selezionare Editor oggetti Criteri di gruppo, e fare clic su Aggiungi.
  5. Fare clic sul pulsante Sfoglia per trovare l’oggetto Criteri di gruppo.
  6. Fare clic sulla scheda Tutte nella Sfoglia Per un oggetto Criteri di gruppo finestra di dialogo.
  7. Selezionare l’oggetto Criteri di gruppo. Fare clic su OK
  8. Chiudere tutte le finestre di dialogo, e quindi in MMC, dal menu File, scegliere Salva con nome.
  9. Fornire un nome nella casella Nome file. Fare clic su Salva.
  10. L’Editor oggetti Criteri di gruppo per l’oggetto Criteri di gruppo può essere letta sotto il menu Strumenti di amministrazione.

Come aprire il software di installazione snap-in

L’installazione del software snap-in è un componente di Editor oggetti Criteri di gruppo.

  1. Aperto di Active Directory o Utenti e computer di console, o di Active Directory Siti e servizi di console.
  2. Fare clic col tasto destro del sito, dominio o unità organizzativa e quindi scegliere Proprietà dal menu di scelta rapida.
  3. Fare clic sulla scheda Criteri di gruppo.
  4. O creare un nuovo oggetto Criteri di gruppo, o di modificare un oggetto Criteri di gruppo esistente.
  5. Fare clic sul pulsante Proprietà, quindi fare clic sulla scheda Protezione. Impostare le autorizzazioni appropriate per l’oggetto Criteri di gruppo. Fare clic su OK
  6. Scegliere l’oggetto Criteri di gruppo, e fare clic su Modifica.
  7. Nella struttura della console, scegliere Configurazione computer per assegnare alle applicazioni di computer o Configurazione utente scegliere di assegnare o pubblicare applicazioni per gli utenti.

Come configurare le proprietà di installazione del software di implementazione per l’oggetto Criteri di gruppo

Utilizzo di Criteri di gruppo per distribuire il software, consente di configurare numerose impostazioni e le opzioni per controllare il modo in cui i pacchetti software sono impiegati e gestiti all’interno della vostra organizzazione. Se si desidera eseguire uno dei compiti amministrativi di seguito elencati, utilizzare la procedura dettagliata di configurazione dopo l’elencati compito amministrativo:

  • Modificare la posizione predefinita per l’installazione dei pacchetti.
  • Configurare l’azione predefinita che deve essere eseguita quando si sono aggiunti nuovi pacchetti per l’oggetto Criteri di gruppo.
  • Definire la quantità di informazioni di installazione viene visualizzato per gli utenti durante il processo di installazione
  • Modificare la quantità di controllo che gli utenti hanno più di installazione delle applicazioni
  • Configurazione automatica di disinstallazione delle applicazioni, quando l’oggetto Criteri di gruppo non è più applicabile a utenti e computer.
  1. Aprire l’oggetto Criteri di gruppo appropriato per la distribuzione del software
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer
  3. Fare clic col tasto destro del nodo di installazione del software e fare clic su Proprietà dal menu di scelta rapida.
  4. Quando l’installazione del software di dialogo Proprietà si apre, nella casella di default del pacchetto della scheda Generale, immettere il Uniform Naming Convention (UNC) percorso per l’SDP per i pacchetti di Windows Installer.
  5. È possibile configurare l’azione predefinita che deve essere eseguita sui nuovi pacchetti nella sezione nuovi pacchetti della scheda Generale. Puoi scegliere una delle opzioni qui di seguito elencati:
    • Mostra finestra di dialogo Distribuisci applicazione: Questa la configurazione di default l’impostazione. La finestra di dialogo Deploy Software sarà visualizzato quando vengono aggiunti nuovi pacchetti per l’oggetto Criteri di gruppo. In questa finestra di dialogo, è possibile scegliere se assegnare o pubblicare la domanda, o configurare le proprietà del pacchetto.
    • Pubblica: Ricorda che le applicazioni possono essere pubblicate solo per gli utenti, e non i computer. Pertanto, questa impostazione è disponibile solo per Configurazione utente. Quando l’opzione è selezionata, l’applicazione viene automaticamente pubblicato con il pacchetto di default proprietà o le impostazioni.
    • Assegna: Quando l’opzione Assegna è selezionata, tutti i nuovi pacchetti di installazione del software aggiunto per l’oggetto Criteri di gruppo vengono assegnati automaticamente con il pacchetto di default proprietà o le impostazioni
    • Avanzata: quando un nuovo pacchetto di installazione del software è aggiunto l’oggetto Criteri di gruppo, la finestra di dialogo delle proprietà del pacchetto viene visualizzato. È quindi possibile configurare le proprietà per il pacchetto di installazione.
  6. In Installazione Interfaccia utente sezione Opzioni della scheda Generale, è possibile scegliere una delle seguenti opzioni:
    • Basic: Quando viene selezionata, gli utenti vengono visualizzati limitate informazioni sul processo di installazione.
    • Massimo: Quando viene selezionata, gli utenti vengono visualizzati tutti i messaggi di installazione e schermi il processo di installazione.
  7. Fare clic sulla scheda Avanzate.
  8. Selezionare Uninstall Il Applicazioni Quando esse rientrano nell’ambito di applicazione della gestione casella di controllo per rimuovere automaticamente la domanda se l’oggetto Criteri di gruppo non si applica più agli utenti o ai computer.
  9. Selezionare Includi OLE Informazioni Quando distribuzione di applicazioni di controllo se le informazioni su COM (Component Object Model) componenti dovrebbero essere inclusi con il pacchetto.
  10. Selezionare la Marca 32-bit x86 di Windows Installer Per applicazioni disponibili Win64 Macchine casella di controllo per consentire a 64-bit di Windows per installare i computer client a 32-bit di Windows Installer applicazioni.
  11. Selezionare la Marca 32-bit x86-Up Level (ZAP) Per applicazioni disponibili Win64 Macchine casella di controllo per consentire a 64-bit computer client per installare le applicazioni utilizzando un pubblicati. Zap file (file “domanda”).

Come configurare l’applicazione predefinita per i file con estensione

È normalmente bisogno di associare un file con estensione con una domanda, quando si dispone di più applicazioni che possono utilizzare un determinato formato di file.

  1. Aprire la console di Criteri di gruppo appropriato.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer
  3. Fare clic col tasto destro del nodo di installazione del software e fare clic su Proprietà dal menu di scelta rapida.
  4. Quando il software di installazione si apre la finestra di dialogo Proprietà, fare clic sulla scheda Estensioni file.
  5. Selezionare Usa la lista dei file di estensione per controllare quali applicazioni sono associati con l’estensione del file.
  6. È possibile utilizzare i tasti Su o Giù della domanda Precedenza casella di riepilogo, per spostare una domanda che dovrebbe essere l’applicazione predefinita per la particolare estensione in cima alla lista.
  7. Fare clic su OK.

Come creare categorie di applicazione per le applicazioni che vengono pubblicati

  1. Aprire la console di Criteri di gruppo appropriato.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer
  3. Fare clic col tasto destro del nodo di installazione del software e fare clic su Proprietà dal menu di scelta rapida.
  4. Quando il software di installazione si apre la finestra di dialogo Proprietà, fare clic sulla scheda Categorie.
  5. Fare clic su Aggiungi per aggiungere una nuova categoria di applicazioni.
  6. Nel Inserisci Nuova categoria finestra di dialogo, specificare un nome per la nuova categoria nella casella Categoria. Fare clic su OK.
  7. Se si desidera rimuovere una richiesta già esistente categoria, selezionare la categoria in categorie scheda, quindi fare clic su Rimuovi.
  8. Se si desidera cambiare il nome di una categoria esistente, selezionare la categoria in categorie scheda, quindi fare clic su Modifica.
  9. Fare clic su OK.

Come cambiare il comportamento di default l’installazione del software su collegamenti di rete lenta

Quando si utilizza Criteri di gruppo, i Criteri di gruppo ritiene che tutte le connessioni di rete che sono più lento di 500 Kbps come collegamenti lenti (di default). A questo punto, le politiche di seguito elencati vengono disattivati:

  • Quote disco
  • Reindirizzamento cartelle
  • Script
  • Installazione e manutenzione software

È possibile tuttavia modificare la velocità che ritiene lento Criteri di gruppo, per cambiare il comportamento di default l’installazione del software su collegamenti di rete lenta. In aggiunta a questo, è possibile attivare o disattivare la trasformazione delle politiche elencate qui di seguito nel corso di un collegamento lento:

  • Disk Quota EFS Recovery, Reindirizzamento cartelle, Manutenzione di Internet Explorer, di protezione IP, script, l’installazione del software, e di sicurezza.

Per modificare la velocità di default che ritiene lento Criteri di gruppo,

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere Modelli amministrativi, Sistema e dei Criteri di gruppo.
  3. Fare doppio clic su Criteri di gruppo di rilevamento dei collegamenti lenti nel riquadro dei dettagli.
  4. Quando il collegamento lento Criteri di gruppo di rilevamento finestra di dialogo Proprietà si apre, selezionare Attivato e inserire la velocità, che dovrebbe essere usato per definire se una connessione è lenta. Immissione di un valore pari a 0, disabilita il rilevamento dei collegamenti lenti.
  5. Fare clic su OK.

Come aggiungere i pacchetti di Windows Installer per l’oggetto Criteri di gruppo

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Fare clic col tasto destro del nodo di installazione del software, quindi fare clic su Nuovo, quindi Pacchetto dal menu di scelta rapida.
  4. In Tipo file, scegliere Windows Installer Package o scegliere ZAW Down livello Applicazione forfetario (. ZAP).
  5. Scegli il pacchetto che dovrebbe essere dispiegata. Fare clic su Apri.
  6. Nella finestra di dialogo Deploy Software dovete specificare in che modo il pacchetto dovrebbe essere dispiegata. È possibile scegliere una delle seguenti opzioni:
    • Pubblicato: il pacchetto di Windows Installer è stato pubblicato per gli utenti in Active Directory con le impostazioni predefinite.
    • Destinazione: il pacchetto di Windows Installer viene assegnato agli utenti o ai computer con le impostazioni predefinite.
    • Avanzato: L’opzione consente di configurare le proprietà per il pacchetto di Windows Installer.
  7. Fare clic su OK.

Come configurare le proprietà del pacchetto Windows Installer

È possibile modificare il pacchetto Windows Installer proprietà dopo il pacchetto è aggiunto l’oggetto Criteri di gruppo. Per cambiare la categoria della domanda, il tipo di implementazione, e le impostazioni di sicurezza;

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Nel riquadro dei dettagli, fare clic con il pacchetto software che si desidera modificare e selezionare Proprietà dal menu di scelta rapida.
  4. Nella scheda Generale è possibile immettere un nuovo nome per il pacchetto nella casella Nome, immettere un URL per supportare gli utenti nella casella URL.
  5. Fare clic sulla scheda Distribuzione, se si vuole cambiare l’attuale modo in cui il pacchetto è distribuito.
  6. Nella sezione Tipo di distribuzione della scheda di distribuzione, è possibile selezionare l’opzione di pubblicazione, o la destinazione scelta.
  7. Nella sezione Opzioni di implementazione della scheda Distribuzione, è possibile selezionare le seguenti caselle di controllo:
    • Auto-installare tale applicazione Con l’estensione del file di attivazione: L’applicazione viene installata automaticamente quando un utente apre un file che è associato con l’applicazione.
    • Disinstalla Questo Applicazione Quando si rientra nell’ambito di applicazione della gestione: La domanda è disinstallato quando l’oggetto Criteri di gruppo associati non è più applicabile per l’utente o il computer.
    • Non visualizzare questo pacchetto nel Add / Remove Programs Pannello di controllo: l’applicazione non è visualizzata in Add / Remove Programs applet del Pannello di controllo.
    • Installare questa applicazione su di accesso: La domanda è installato quando l’utente accede al prossimo computer.
  8. In Installazione Interfaccia utente sezione Opzioni della scheda di distribuzione, è possibile scegliere l’opzione di base, o al massimo opzione.
  9. Fare clic sul pulsante Avanzate, sulla realizzazione di aprire la scheda Avanzate Deployment finestra di dialogo Opzioni.
  10. È possibile impostare le opzioni avanzate di seguito elencati sotto le opzioni di distribuzione:
    • Ignora Lingua Quando Implementazione Questo pacchetto: utilizza il pacchetto, anche se la lingua è il pacchetto in una lingua diversa. L’opzione sostanzialmente ignora le impostazioni della lingua in cui il pacchetto è distribuito
    • Marca Questo 32-bit x86 Applicazione Disponibile Macchine Per Win64: Consente 64-bit di Windows per installare i computer client a 32-bit di Windows Installer applicazioni.
    • Includi OLE classe e le informazioni sul prodotto: Informazioni su COM (Component Object Model) componenti è incluso con il pacchetto.
  11. Fare clic su OK
  12. Fare clic sulla scheda Categorie di assegnare l’applicazione di una domanda categoria.
  13. Fare clic sulla scheda Protezione configurare gli utenti o gruppi, che dovrebbe essere in grado di accedere alla domanda.
  14. Fare clic su OK.

Come per distribuire gli aggiornamenti dei pacchetti

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Nel riquadro dei dettagli, fare clic con il pacchetto di aggiornamento e quindi selezionare Proprietà dal menu di scelta rapida.
  4. Fare clic sulla scheda Aggiornamenti.
  5. Fare clic su Aggiungi.
  6. Nel pacchetto di aggiornamento Aggiungi finestra di dialogo selezionare se si vuole scegliere un pacchetto da GPO corrente, o da un determinato oggetto Criteri di gruppo.
  7. Scegli il pacchetto che deve essere aggiornato dal pacchetto di aggiornamento lista.
  8. Se l’attuale domanda deve essere rimosso prima della nuova applicazione è stata installata, fare clic su Disinstalla il pacchetto esistente, quindi installare il pacchetto di aggiornamento opzione.
  9. Se il nuovo pacchetto dovrebbe effettuare l’aggiornamento del pacchetto esistente, fare clic sul pacchetto di aggiornamento può Over The opzione pacchetto esistente. Questa opzione non sovrascrivere le impostazioni esistenti degli utenti.
  10. Fare clic su OK nella Aggiungi Upgrade Package finestra di dialogo.
  11. Utilizzare il pulsante Aggiungi e Rimuovi il pulsante Aggiorna scheda per specificare i pacchetti che il nuovo pacchetto di aggiornamento.
  12. Attivare l’aggiornamento obbligatorio per i pacchetti di controllo se si desidera vigore agli utenti di effettuare l’aggiornamento alla nuova confezione.
  13. Fare clic su OK.

Come pacchetto di applicare le modifiche

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Fare clic col tasto destro del nodo di installazione del software e selezionare Nuovo, quindi Pacchetto dal menu di scelta rapida.
  4. Scegliere il pacchetto di base per l’applicazione, che dovrebbe essere dispiegata. Fare clic su Apri.
  5. Usa la icona Risorse di rete per individuare a questo pacchetto.
  6. Scegli una destinazione di pubblicazione o nella finestra di dialogo Deploy Software. Fare clic su OK.
  7. Fare clic sulla scheda Modifiche.
  8. Fare clic su Aggiungi e scegliere il pacchetto di Windows Installer trasformare che dovrebbe essere aggiunto nella finestra di dialogo Apri. Fare clic su Apri. Puoi aggiungere più modifiche.
  9. È possibile utilizzare il Sposta su e Sposta giù sulla scheda Modifiche al posto dei pacchetti in modo appropriato. Utilizzare il pulsante Aggiungi e Rimuovi per aggiungere o rimuovere trasforma.
  10. Fare clic su OK.

Come rimuovere le applicazioni impiegate con i Criteri di gruppo

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Fare clic col tasto destro del pacchetto che si desidera rimuovere nel riquadro dei dettagli, quindi selezionare Tutte le attività, quindi Rimuovi dal menu di scelta rapida.
  4. Quando la finestra di dialogo Rimuovi Software si apre, selezionare una delle opzioni qui di seguito elencati:
    • Immediatamente disinstallare il software da parte degli utenti e computer, di rimuovere immediatamente il software quando si riavvia il computer, o la prossima volta, quando l’utente accede al computer.
    • Allow Users To Continue To Use The Software, But Prevent New Installations: This option prevents new instances of the application from being installed, while still permitting users who have already installed the application, to continue using the application.
  5. Click OK.

Best Practices for Deploying Software Through Group Policy

A few best practices specific to deploying software through Group Policy is listed below:

  • Test all software installation packages before you deploy them.
  • Use and enforce standard configurations for applications, if possible
  • It is recommended that you deploy software as high in the Active Directory hierarchy or tree as you can. Software should be deployed close to the root in the Active Directory tree because it allows you to use one GPO to deploy software to multiple users.
  • A Windows Installer package should be assigned/published only once in the identical GPO.
  • Create application categories when you have a large quantity of published applications within your organization. This makes is easier for users to find applications in Add Or Remove Programs in Control Panel.

Share

Microsoft

Comprendere e gestire le azioni di Master Ruoli

17 maggio 2009

Comprendere il Master operazioni Ruoli

Active Directory opera in un contesto multi-master replica modo. Ciò significa che ogni controller di dominio nel dominio in possesso di una leggibile e scrivibile replica di Active Directory dati. In multi-master replica, qualsiasi controller di dominio è in grado di modificare oggetti in Active Directory. Multi-master replica è l’ideale per la maggior parte delle informazioni nel sito di Active Directory. Tuttavia, alcune funzioni di Active Directory o di operazioni non sono gestite in modo multi-master, perché non può essere condivisa senza causare alcuni problemi di uniformità dei dati. Queste funzioni sono chiamati Flexible Single Master Operations (FSMOs).

Ci sono cinque Master operazioni (OM) ruoli che vengono installati automaticamente quando si installa il primo controller di dominio. Questi cinque OMS sono installati nel controller di dominio. Due di questi ruoli OM si applicano a tutta la foresta di Active Directory. I ruoli che si applicano alla foresta sono il ruolo master schema e il Domain Naming Master ruolo. Gli altri tre OM ruoli applicano a ciascun dominio. I ruoli che si applicano a un dominio sono l’identificatore relativo (RID) / Master ruolo relativo ID, il Primary Domain Controller (PDC) Emulatore ruolo, e il ruolo Master infrastrutture. Quando un controller di dominio viene assegnato un FSMO, che diventa un controller di dominio ruolo master. La particolare controller di dominio che viene assegnato questi ruoli svolge unico master replica di Active Directory in ambiente.

Poiché in genere i controller di dominio contiene le stesse informazioni di Active Directory, quando un controller di dominio non è disponibile, il resto del controller di dominio sono in grado di fornire l’accesso a oggetti di Active Directory. Tuttavia, se il controller di dominio che ha perso uno di questi ruoli OM installato, si potrebbero trovare nuovi oggetti che non può essere aggiunto al dominio.

Forest-Wide Master operazioni Ruoli

Ogni forestale a livello OM ruolo può esistere solo su un controller di dominio in tutta la foresta. Ciò significa che tali ruoli devono essere unici in tutta la foresta. I due forestali a livello OM ruoli sono:

  • Schema Master ruolo: poiché gli oggetti che esistono nel nello schema di partizione di directory definiscono la struttura di Active Directory per un bosco, è collocato un grande controllo su chi può aggiungere oggetti di questa partizione. Dal momento che ogni controller di dominio in un ambiente Active Directory hanno un comune schema, le informazioni di cui lo schema deve essere coerente su ogni controller di dominio. E ‘il controller di dominio che viene assegnato il ruolo master schema che controlla che gli oggetti sono aggiunti, modificati o rimossi dalla schema. Il controller di dominio con il ruolo master schema è il solo controller di dominio in tutta la foresta di Active Directory che possono eseguire tutte le modifiche allo schema. È possibile utilizzare la Schema di Active Directory snap-in MMC di apportare modifiche allo schema, e solo se si è un membro del gruppo Schema Admins. Tutte le modifiche apportate allo schema pregiudicherebbe ogni controller di dominio all’interno della foresta di Active Directory. È possibile trasferire il ruolo master schema a un altro controller di dominio all’interno della foresta. È anche possibile cogliere il ruolo se il controller di dominio esistenti azienda il ruolo avuto un fallimento e non possono essere recuperati.
  • Domain Naming Master ruolo: Come è il caso con il ruolo master schema, una sola la denominazione dei domini Master ruolo è consentito in tutta la foresta. Il controller di dominio che viene assegnato il ruolo di Domain Naming Master è responsabile per il monitoraggio di tutti i domini all’interno di tutta la foresta di Active Directory al fine di garantire che duplicare i nomi di dominio non vengono create. Il controller di dominio con il ruolo di Domain Naming Master si accede quando vengono creati nuovi domini per un albero o foresta. Ciò garantisce che i domini non sono contemporaneamente creato all’interno del bosco. La configurazione di default è che il primo controller di dominio promosso in un bosco, è stato assegnato questo ruolo. È possibile tuttavia trasferire il dominio Naming Master ruolo a un altro controller di dominio all’interno della foresta.

Domain-wide Master operazioni Ruoli

I tre di dominio a livello OM ruoli devono unico in ogni dominio all’interno di un bosco. Ciò significa che non ci deve essere uno di ciascuno di questi ruoli in ogni dominio. I tre di dominio a livello OM ruoli sono:

  • Relativa identificatore (RID) Master ruolo: Quando un oggetto di sicurezza è stato creato all’interno di Active Directory, è assegnato un ID di protezione. L’ID di protezione è costituito dal dominio di sicurezza ID e un parente ID. Il dominio di sicurezza ID è esattamente lo stesso per ogni ID di protezione creato in particolare il dominio. La relativa ID d’altro canto è unico per ogni ID di protezione creato all’interno del dominio. Poiché ogni relativa ID deve essere unico, il controller di dominio che viene assegnato il ruolo di master RID è responsabile per il monitoraggio e per l’assegnazione di ID univoco relativo al controller di dominio quando vengono creati nuovi oggetti. Per garantire l’efficienza quando si assegna gli ID relativi ai controller di dominio, il controller di dominio assegnato il ruolo di master RID effettivamente genera una serie di 500 relativo ID di assegnare ai controller di dominio. Poiché il numero di ID relativa diminuisce, il master RID genera più rispetto ID per mantenere il numero di ID relativi disponibile come 500. La configurazione di default è che il ruolo di master RID e PDC Emulator ruolo è assegnato al controller di dominio identici. È possibile tuttavia trasferire il ruolo di master RID un diverso controller di dominio all’interno del dominio.
  • Ruolo Emulatore PDC: In che contengono domini di Windows NT Backup Domain Controller (BDC), il controller di dominio che viene assegnato il ruolo Emulatore PDC funzioni di Windows NT Primary Domain Controller (PDC). Il ruolo Emulatore PDC ha importanza quando si tratta di replica – BDC replicare solo da un Primary Domain Controller! Oggetti che sono principi di sicurezza possono essere creati solo e replicate dal emulatore PDC. Principi di sicurezza sono utenti, computer e gruppi. E ‘quindi il PDC Emulator che consente il basso livello di sistemi operativi di coesistere in Windows 2000 e Windows Server 2003 Active Directory ambienti. Dopo il dominio è operativo in Windows Server 2003 a livello funzionale, il controller di dominio assegnato il ruolo Emulatore PDC continua a eseguire altre operazioni per il dominio. Tali funzioni aggiuntive comprendono i seguenti:
    • Tutti i cambiamenti e le password di blocco degli account richieste sono trasmesse per il PDC Emulator. Un controller di dominio in un dominio di primo controllo con il PDC Emulator per verificare se un cattivo password fornite da un utente è stato recentemente cambiato la password, ed è quindi una password valida.
    • I criteri di gruppo composto da un gruppo di politica Contenitore (GPC) in Active Directory, e un modello Criteri di gruppo (GPT) nella cartella SYSVOL. Poiché questi due elementi possono diventare di sincronizzazione a causa di multi-master replica, l’Editor criteri di gruppo di default è impostato per il PDC Emulator. Questa politica di gruppo impedisce modifiche siano effettuate su tutti i controller di dominio all’interno del dominio.
  • Ruolo Master infrastrutture: Il controller di dominio assegnato il ruolo Master infrastrutture ha le seguenti funzioni all’interno del dominio:
    • Aggiornamenti del gruppo-di-utente riferimenti quando i membri dei gruppi sono modificate. Questi aggiornamenti vengono inviati tramite il Master infrastrutture per il resto del controller di dominio all’interno del dominio tramite multi-master replica.
    • Elimina qualsiasi stantio o non valido gruppo-a-utente riferimenti all’interno del dominio. Per fare questo, il ruolo Master infrastrutture controlli con il catalogo globale per il gruppo di stantio-to-utente riferimenti.

Pianificazione del posizionamento del FSMOs

Un detto in precedenza, tutti i ruoli sono OM di default assegnato automaticamente al primo controller di dominio creato per la prima in un nuovo dominio Active Directory. Poi, quando si crea un dominio principale di un nuovo albero in una foresta, o di un nuovo dominio figlio, i tre dominio specifico OM ruoli sono assegnati al primo controller di dominio in quel dominio. Nei casi in cui un dominio ha un solo controller di dominio, ogni dominio specifico ruolo OM deve esistere su questo unico controller di dominio. I due ruoli delle foreste specifiche OM soggiorno sul controller di dominio iniziale per il primo dominio creato all’interno del bosco.

OM ruoli di solito sono trasferiti ad altri controller di dominio quando si ha bisogno per svolgere le attività di manutenzione, o di bilanciare il carico esistenti carico del controller di dominio, o semplicemente spostare il particolare ruolo OM meglio attrezzati ad un controller di dominio.

Nei casi in cui esistono più controller di dominio per un determinato dominio, considerare le seguenti raccomandazioni, quando il tuo Master operazioni ruoli all’interno del dominio:

  • Se si dispone di due controller di dominio che sono i partner di replica diretta e ben collegato, assegnare il ruolo Master RID, PDC Emulator ruolo e il ruolo Master infrastrutture per un controller di dominio. Questo particolare controller di dominio OM sarebbe diventato il controller di dominio per il dominio. Il controller di dominio rimanente sarebbe diventato il designati standby OM controller di dominio.
  • E ‘generalmente raccomandato per assegnare il emulatore PDC e master RID ruoli per lo stesso controller di dominio.
  • Tuttavia, se il dominio che si sta mettendo i ruoli FSMO è di grandi dimensioni, si consiglia di individuare il ruolo di master RID ed emulatore PDC ruolo su due diversi controller di dominio. Ciascuno di questi controller di dominio deve essere ben collegato al controller di dominio designato come standby OM controller di dominio per questi due ruoli. Questa strategia è di solito attuate per ridurre il carico sul controller di dominio assegnato l’emulatore PDC.
  • Si consiglia di collocare il ruolo master schema e il Domain Naming Master ruolo sullo stesso controller di dominio.
  • Si consiglia di astenersi da assegnare il ruolo Master infrastrutture a un controller di dominio che contiene il catalogo globale. Il controller di dominio assegnato il ruolo Master infrastrutture dovrebbe essere ben collegato con il server di catalogo globale. Il master infrastrutture non funzionare correttamente se il catalogo globale è ospitato sul controller di dominio identici.

Gestione Master operazioni Ruoli

Dal momento che solo uno o più controller di dominio vengono assegnati i ruoli di master operazioni, è importante che le specifiche rimangono funzionamento dei controller di dominio in Active Directory ambiente. Ci sono essenzialmente due processi che intervengono nella gestione dei FSMOs. Questi compiti di gestione sono riportate qui di seguito:

  • Poiché il FSMOs vengono create automaticamente quando il primo controller di dominio è installato, potrebbe essere necessario il trasferimento OM ruoli di una più robusta server. È inoltre necessario trasferire OM ruoli a un altro server prima demoting il controller di dominio che li ospita.
  • Quando un controller di dominio perduto non può essere recuperato, si sarebbe alcun bisogno di cogliere OM ruoli assegnati al particolare controller di dominio.

Trasferimento di uno ruolo di master operazioni, comporta il trasferimento da un server a un server diverso. Per trasferire il ruolo master schema, è necessario disporre di Schema Admins diritti, e di trasferire il Domain Naming Master ruolo, è necessario disporre di diritti di amministratore Imprese.

È possibile utilizzare uno di Active Directory o di una console a riga di comando programma di utilità per trasferire OM ruoli. La console MMC di Active Directory che può essere utilizzato per trasferire i diversi FSMOs sono riportate qui di seguito:

  • Schema di Active Directory snap-in MMC: Per trasferire il ruolo master schema
  • Active Directory Domini e trust di console: Per il trasferimento del dominio Naming Master ruolo
  • Active Directory Utenti e computer di console: Per trasferire il ruolo master RID, emulatore PDC ruolo, e il ruolo Master infrastrutture.

Quando si fa cogliere uno OM ruolo, ma deve farlo senza la cooperazione degli attuali controller di dominio che viene assegnato con il particolare ruolo OM. Quando un ruolo OM è sequestrata, è fondamentalmente riassegnata a un altro controller di dominio. Prima di tentare di cogliere tutte le OM ruoli, in primo luogo cercare di determinare ciò che è il motivo per il fallimento degli attuali controller di dominio che viene assegnato con il particolare ruolo OM. Alcuni problemi di rete che possono essere corrette in breve tempo sono ben fames valore duraturo attraverso. Prima di cogliere OM ruoli, in primo luogo assicurare che il controller di dominio che si prevede di trasferire questi ruoli, è abbastanza potente per difendere questi ruoli. In sintesi, si dovrebbe cogliere solo uno OM ruolo, se l’attuale OM non possono essere ancora recuperati. È necessario utilizzare il Ntdsutil strumento strumento della riga di comando di cogliere OM ruoli.

Le conseguenze della mancanza di FSMOs

La sezione seguente esamina ciò che effettivamente succede quando ogni ruolo FSMO non:

  • Un master schema fallimento è evidente fondamentalmente solo quando un amministratore tenta di cambiare schema di Active Directory. Ciò significa che un master schema fallimento è invisibile ai vostri utenti di rete standard. Si dovrebbe cogliere questa funzione solo per il controller di dominio designato come master schema standby se il master schema esistente di fatto non può essere recuperato.
  • Come è il caso di un fallimento Schema Master, Domain Naming Master fallimento è evidente solo se un amministratore tenta di aggiungere un dominio per la foresta, o rimuovere un dominio dalla foresta. Un Domain Naming Master fallimento in generale non può essere percepita dai vostri utenti di rete standard. Si dovrebbe cogliere questa funzione solo per il controller di dominio designato come suo standby, quando l’attuale denominazione dei domini Master non sarebbe ancora operativo.
  • Un master RID fallimento è evidente solo per gli amministratori se ne stanno cercando di aggiungere nuovi oggetti di Active Directory in particolare il dominio in cui il master RID non riuscito. Quando questo accade, il master RID non è in grado di assegnare gli ID relativi al controller di dominio in cui il nuovo oggetti di Active Directory vengono creati. Un master RID fallimento non può essere rilevato dal tuo convenzionali gli utenti della rete. Si dovrebbe inoltre generalmente solo cogliere questa OM ruolo quando il controller di dominio esistente assegnato con il ruolo di master RID non sarebbe mai recuperare dal fallimento.
  • Un Master infrastrutture mancato, inoltre, non è visibile al suo standard di utenti della rete. Il fallimento solo impatti amministratori che tentano di spostare gli account utente, o rinominarli. Valutare la possibilità di trasferire il ruolo che il controller di dominio designato standby se il controller di dominio esistente assegnato con il Master infrastrutture è quello di non essere disponibili per un ragionevole periodo di tempo prolungato, e le modifiche che devono essere fatte sono pertinenti.
  • A differenza del ruolo OM fallimenti descritti in precedenza che non sono evidenti al suo standard di utenti della rete, un emulatore PDC mancato impatto non gli utenti della rete. E ‘importante cogliere subito questo ruolo per il suo designato standby se il controller di dominio di dominio di Windows NT contiene alcun controller di dominio di backup. È sempre possibile tornare al suo ruolo di questo controller di dominio precedente quando è recuperato e di nuovo on-line.

Come visualizzare l’attuale ruolo di master schema di assegnazione

  1. Aprire un prompt dei comandi, digitare regsvr32 schmmgmt.dll e di registrare il schmmgmt.dll sul computer.
  2. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  3. Dal menu File, selezionare Aggiungi / Rimuovi snap-in e quindi selezionare Aggiungi.
  4. Nella lista dei disponibili snap-in, fare doppio clic su Schema di Active Directory.
  5. Fare clic sul pulsante Chiudi. Fare clic su OK.
  6. Aprire la Schema di Active Directory snap-in.
  7. Nella struttura della console, cliccate con il tasto destro Schema di Active Directory e scegliere Master operazioni dal menu di scelta rapida.
  8. Il master schema Cambia si apre la finestra di dialogo.
  9. È possibile visualizzare il nome del master schema esistenti nel master schema attuale (Online) casella.
  10. Fare clic sul pulsante Chiudi.

Come visualizzare l’attuale denominazione dei domini Master ruolo assegnazione

  1. Aperto di Active Directory Domini e trust di console dal menu Strumenti di amministrazione.
  2. Nella struttura della console, clic con il pulsante destro di Active Directory Domini e trust e selezionare Operazioni Maestri dal menu di scelta rapida.
  3. Il Cambia master operazioni si apre la finestra di dialogo.
  4. È possibile visualizzare il nome del dominio esistente Naming Master in Domain Naming Master operazioni casella.
  5. Fare clic sul pulsante Chiudi.

Come visualizzare l’attuale ruolo di master RID, emulatore PDC e master infrastrutture ruolo incarichi

  1. Aperto di Active Directory Utenti e computer di console dal menu Strumenti di amministrazione.
  2. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Tutte le attività, quindi Master operazioni dal menu di scelta rapida.
  3. Il Master operazioni finestra di dialogo contiene le seguenti schede:
    • RID scheda: Il nome del master RID esistente viene visualizzato nella finestra Master operazioni di questa scheda.
    • PDC scheda: Nella casella di master operazioni PDC scheda, è possibile visualizzare il nome del PDC Emulator esistenti.
    • Scheda infrastrutture: le infrastrutture esistenti Master nome viene visualizzato nella casella di Master operazioni.
  4. Fare clic sul pulsante Chiudi.

Come trasferire il ruolo master schema a un altro controller di dominio

Prima di poter trasferire il ruolo master schema a un altro controller di dominio, assicurarsi di avere la necessaria Schema Admins diritti, e che entrambi i controller di dominio che si prevede di lavorare con sono disponibili. Prima di poter utilizzare la Schema di Active Directory snap-in MMC, dovete prima di aggiungere a una MMC.

Per aggiungere la Schema di Active Directory snap-in MMC ad una,

  1. Aprire un prompt dei comandi, digitare regsvr32 schmmgmt.dll e di registrare il schmmgmt.dll sul computer.
  2. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  3. Dal menu File, selezionare Aggiungi / Rimuovi snap-in e quindi selezionare Aggiungi.
  4. Nella lista dei disponibili snap-in, fare doppio clic su Schema di Active Directory.
  5. Fare clic sul pulsante Chiudi. Fare clic su OK

Per trasferire il ruolo master schema,

  1. Aprire la Schema di Active Directory snap-in.
  2. Fai clic destro Schema di Active Directory nella struttura della console, quindi selezionare Cambia controller di dominio dal menu di scelta rapida.
  3. Le opzioni disponibili quando Cambia controller di dominio si apre la finestra di dialogo
    • Qualsiasi DC: Se questa opzione è selezionata, di Active Directory si seleziona un nuovo controller di dominio per il ruolo master schema.
    • Specificare Nome: Se questa opzione è attivata, è necessario immettere il nome della nuova posizione per il ruolo master schema.
  4. Fare clic su OK
  5. Fai clic destro Schema di Active Directory nella struttura della console di nuovo, e scegliere Master operazioni dal menu di scelta rapida.
  6. Quando il master schema Cambia la finestra di dialogo si apre, fare clic su Cambia.
  7. Fare clic su OK quando viene visualizzato un messaggio per chiedere la verifica del trasferimento OM ruolo che si desidera eseguire.
  8. Fare clic su OK per chiudere la finestra di dialogo Cambia master schema casella.

Come trasferire il dominio Naming Master ruolo a un altro controller di dominio

Devi essere un membro del gruppo Enterprise Admin per trasferire il dominio Naming Master ruolo a un altro controller di dominio.

  1. Aperto di Active Directory Domini e trust di console dal menu Strumenti di amministrazione.
  2. Nella struttura della console, clic con il pulsante destro di Active Directory Domini e trust e selezionare Connessione al controller di dominio dal menu di scelta rapida.
  3. La Connessione al controller di dominio si apre la finestra di dialogo. Questo è dove si specifica il nome del nuovo controller di dominio che dovrebbe essere assegnato il ruolo di Domain Naming Master.
  4. Fare clic su OK
  5. Nella struttura della console, clic con il pulsante destro di Active Directory Domini e trust e selezionare Operazioni Maestri dal menu di scelta rapida.
  6. Quando il cambiamento Master operazioni si apre la finestra di dialogo, fare clic su Cambia
  7. Fare clic sul pulsante Chiudi

Come trasferire il ruolo master RID, emulatore PDC ruolo, il ruolo Master infrastrutture o ad un altro controller di dominio

  1. Aperto di Active Directory Utenti e computer di console dal menu Strumenti di amministrazione.
  2. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Connetti a dominio dal menu di scelta rapida.
  3. Quando il dominio Collegare Per finestra di dialogo, immettere il nome di dominio che si desidera lavorare.
  4. Fare clic su OK
  5. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Connetti a controller di dominio dal menu di scelta rapida.
  6. Quando la Connessione al controller di dominio si apre la finestra di dialogo, specificare il nuovo controller di dominio per l’OM ruolo che si sta trasferendo.
  7. Fare clic su OK
  8. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Tutte le attività, quindi fare clic su Master operazioni dal menu di scelta rapida.
  9. Il Master operazioni apre la finestra di dialogo. Su una delle seguenti schede,
    • RID scheda: Fare clic su Cambia per modificare il percorso del master RID
    • PDC scheda: Fare clic su Cambia per modificare la posizione del PDC Emulator
    • Infrastruttura scheda: Fare clic su Cambia per modificare il percorso del Master infrastrutture.
  10. Fare clic su Sì per verificare che si desidera trasferire il ruolo OM particolare a un altro controller di dominio.
  11. Fare clic su OK. Fare clic sul pulsante Chiudi.

Come cogliere uno ruolo di master operazioni

Quando si fa cogliere uno OM ruolo, è necessario eseguire i seguenti compiti:

  • Verificare che il nuovo controller di dominio per il ruolo è completamente aggiornato con le modifiche eseguite sul controller di dominio esistente del ruolo particolare. È possibile utilizzare la replica di diagnostica utilità della riga di comando per questa verifica. Repadmin.exe è incluso in Windows Strumenti di supporto di Windows Server 2003 CD-ROM.
  • Lei non usa il Ntdsutil strumento per cogliere il particolare ruolo OM. Il primo strumento Ntdsutil tentativi di trasferire il ruolo prima che effettivamente procede a cogliere il ruolo.

Tuttavia, se avete la necessità di cogliere l’emulatore PDC o Infrastruttura FSMOs, è possibile utilizzare Active Directory Utenti e computer di console. Il Ntdsutil strumento deve però essere utilizzata per cogliere l’altro FSMOs – Schema Master ruolo, Domain Naming Master ruolo, e del ruolo di master RID. È possibile però utilizzare anche il Ntdsutil strumento per cogliere il ruolo Emulatore PDC o ruolo Master infrastrutture.

Per cogliere l’emulatore PDC o Infrastruttura FSMOs utilizzando Active Directory Utenti e computer di console,

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, fare clic con il dominio, quindi scegliere Connessione al controller di dominio dal menu di scelta rapida.
  3. Immettere il nome degli altri controller di dominio. Fare clic su OK
  4. Per eseguire il sequestro del ruolo, cliccate con il tasto destro del dominio e scegliere Master operazioni dal menu di scelta rapida.
  5. Fare clic su una scheda il PDC, infrastrutture o la scheda
  6. Si noterà che il ruolo particolare OM è indicata come non in linea.
  7. Fare clic su Cambia.
  8. Fare clic su OK per verificare che si desidera trasferire il ruolo OM.
  9. Fare clic su Sì quando viene chiesto di verificare che si desidera eseguire un trasferimento forzato.

Per cogliere tutte le OM ruoli utilizzando il Ntdsutil strumento,

  1. Fare clic sul pulsante Start, Prompt dei comandi.
  2. Inserisci i seguenti al prompt dei comandi: ntdsutil. Premere Invio
  3. Inserisci i seguenti al prompt ntdsutil: ruoli. Premere Invio
  4. Inserisci i seguenti al prompt fsmo maintenance: connessioni. Premere Invio
  5. Inserisci i seguenti al prompt dei server di connessioni: la connessione al server, e il nome di dominio pienamente qualificato (FQDN). Premere Invio
  6. Inserisci i seguenti al prompt dei server di connessioni: smettere. Premere Invio.
  7. Immettere uno dei seguenti al prompt fsmo maintenance:
    • cogliere master schema. Premere Invio
    • cogliere nomi di dominio master. Premere Invio
    • cogliere master RID. Premere Invio
    • cogliere PDC. Premere Invio
    • cogliere master infrastrutture. Premere Invio
  8. Inserisci quit al prompt fsmo maintenance. Premere Invio
  9. Inserisci uscire al prompt ntdsutil.

Come eseguire un metadata cleanup

La classe di oggetti e attributi degli oggetti dello schema sono indicati come metadati. Un metadata cleanup è di solito eseguita quando non siete in grado di ripristinare un controller di dominio non riuscita. La pulizia elimina ogni riferimento alla non controller di dominio in Active Directory.

Per eseguire la pulitura dei metadati,

  1. Dal prompt dei comandi, digitare ntdsutil e premere Invio.
  2. Inserisci i seguenti al prompt ntdsutil: metadata cleanup. Premere Invio
  3. Inserisci i seguenti al prompt dei metadata cleanup: connessioni. Premere Invio
  4. Inserisci i seguenti al prompt dei server di connessioni: la connessione al server, seguito dal nome del server. Premere Invio
  5. Inserisci uscire, e premere Invio
  6. Inserisci i seguenti al prompt dei metadata cleanup: select operation target. Premere Invio
  7. Inserisci elenco domini. Premere Invio
  8. Inserisci selezionare dominio, seguito dal numero del dominio che contiene il server che si desidera rimuovere. Premere Invio
  9. Inserisci elenco dei siti. Premere Invio
  10. Inserisci selezionare sito, seguito dal numero del sito che contiene il server che si desidera rimuovere. Premere Invio
  11. Inserisci il sito nella lista dei server. Premere Invio
  12. Inserisci selezionare il server, seguito dal numero di server che si desidera rimuovere. Premere Invio.
  13. Immettere chiudere e premere Invio per tornare al prompt dei metadata cleanup.
  14. Inserisci rimuovere server selezionato, quindi premere Invio.
  15. Quando viene visualizzato un messaggio che chiede di verificare se il server deve essere rimosso, scegliere Sì.
  16. Esci dal Ntdsutil.
Share

Microsoft

Panoramica sul server di catalogo globale

17 maggio 2009

Il catalogo globale (GC) è una componente importante in Active Directory in quanto funge da centrale di memorizzare le informazioni di Active Directory gli oggetti situati in domini, e delle foreste. Dato che la GC mantiene un elenco degli oggetti di Active Directory in settori e delle foreste, senza realmente compreso tutte le informazioni sugli oggetti, e viene utilizzato quando gli utenti effettuano ricerche per oggetti di Active Directory o per specifici attributi di un oggetto; GC migliora le prestazioni della rete e garantisce la massima accessibilità a oggetti di Active Directory.

Il server di catalogo globale è il controller di dominio che memorizza una copia completa di tutti gli oggetti nel suo dominio host. Ha inoltre memorizza una copia parziale di tutti gli oggetti in tutti gli altri settori all’interno della foresta. La copia parziale detiene l’elenco degli oggetti cercato per più di frequente. Il primo controller di dominio che viene creato durante il primo dominio in una foresta è per default il server di catalogo globale. Se un dominio comprende un unico controller di dominio, quel particolare controller di dominio e il server sono GC stesso server. Se si aggiunge un ulteriore controller di dominio per il dominio, si può configurare come controller di dominio che il server GC. È inoltre possibile assegnare ulteriori controller di dominio per servire come GC server per un dominio. Questo di solito è fatto per migliorare i tempi di risposta per le richieste di accesso degli utenti e le richieste di ricerca.

Al fine di server di catalogo globale per memorizzare una copia completa di tutti gli oggetti nel suo dominio host e una copia parziale di tutti gli oggetti in tutti gli altri settori all’interno della foresta, GC replica deve verificarsi tra quelli che sono i controller di dominio configurato come server GC. GC non si replica tra i controller di dominio che non sono server GC.

Le funzioni del GC server sono discusse nella sezione seguente. Le funzioni svolte dal GC server possono essere riassunti come segue:

· GC server Active Directory di fondamentale importanza per la funzionalità UPN perché risolvere i principali nomi utente (UPNs) quando il controller di dominio, la gestione della richiesta di autenticazione non è in grado di autenticare l’utente perché l’account utente esiste realmente in un altro dominio. Il controller di dominio di autenticazione non avrebbe alcuna conoscenza della particolare account utente. Il GC server in questo caso, aiuta a localizzare l’account utente in modo che il controller di dominio di autenticazione può procedere con la richiesta di accesso per l’utente.

· Il GC server si occupa di tutte le richieste di ricerca degli utenti alla ricerca di informazioni in Active Directory. Si possono trovare tutti i dati di Active Directory, indipendentemente dal settore in cui i dati si svolge. Il GC server si occupa di richieste per l’intera foresta.

· Il GC inoltre rende possibile per gli utenti di fornire informazioni in gruppo universale per il controller di dominio di rete per le richieste di accesso.

Universal gruppi sono disponibili quando il livello funzionalità di dominio viene aumentato o fissato a meno di Windows 2000 nativo. Gruppi universale può contenere membri che appartengono a vari settori all’interno della foresta, e il loro gruppo di appartenenza universale è solo informazioni memorizzate nel GC. Ciò significa che solo i controller di dominio configurato come server GC universale dovrebbe contenere informazioni in gruppo. Per il resto, il controller di dominio potrebbe non tenere in gruppo Universal informazioni. Universale Il gruppo caching funzione introdotta in Windows Server 2003 Active Directory, consente a un sito che non ha alcun GC cache server per l’adesione universale gruppo di informazioni per gli utenti che intendono accedere al controller di dominio all’interno del sito. In questo modo, un controller di dominio può servire le richieste di accesso per la directory di informazioni quando un GC server non è disponibile. Le impostazioni della replica di Active Directory calendario determinare come spesso la cache viene aggiornata.

Pianificazione della Posizione di server di catalogo globale

Se si dispone di una rete relativamente piccola che ha solo un unico luogo fisico, il primo controller di dominio per il dominio installato sarebbe diventato il GC server. Come ulteriore controller di dominio vengono aggiunti al dominio, è possibile spostare il server GC ruolo a un altro controller di dominio. Posizionando il GC server in un ambiente Active Directory è un processo abbastanza semplice. La maggior parte delle reti di grandi dimensioni, tuttavia, molte ubicazioni fisiche. Avendo affidabili ad alta velocità che collegano i link filiali sarebbe la situazione ideale. Poiché la maggior parte dei collegamenti utilizzo della larghezza di banda limitata, e anche alcuni link sono inaffidabili, la necessità di creare siti e link del sito per il controllo del traffico di replica diventa essenziale.

È necessario configurare almeno un controller di dominio come il GC server in ogni sito. Assicurarsi che il controller di dominio è robusto abbastanza per far fronte a tutte le richieste del catalogo globale e GC traffico di replica. Questa è sua volta garantisce la migliore possibile i tempi di risposta della rete. Quando Microsoft Exchange 2000 Server viene utilizzato, si raccomanda inoltre di configurare un server di GC per ogni sito che ha un server di Exchange.

Se si dispone di più siti, si potrebbe desiderare di schierare ulteriori GC server per un sito se si verificano le seguenti condizioni:

  • Un collegamento WAN lento o inaffidabile collegamento WAN viene utilizzata per connettersi ad altri siti.
  • Una frequente applicazione utilizza la porta utilizzata per GC 3268 domande.
  • Gli utenti del sito sono membri di un dominio Windows 2000 o un dominio Windows Server 2003 che operano in modalità nativa di Windows 2000.

Come creare ulteriori server GC

Quando si crea il primo controller di dominio per un nuovo dominio, quel particolare controller di dominio è designato come server GC. A seconda della vostra rete, potrebbe essere necessario aggiungere un ulteriore GC server (s). L’Active Directory Siti e servizi della console è lo strumento utilizzato per aggiungere un ulteriore server GC. Devi essere un membro di uno dei seguenti gruppi per creare ulteriori server GC: Domain Admins o Enterprise Admins.

Per creare un nuovo server di GC:

  1. Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Active Directory Siti e servizi.
  2. Nella struttura della console, espandere Siti, quindi espandere il sito che contiene il controller di dominio che si desidera configurare come un server GC.
  3. Espandere la cartella Server e individuare e quindi fare clic sul controller di dominio che si desidera designare come un server GC.
  4. Nel dettaglio, pannello, cliccate con il tasto destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida.
  5. L’oggetto Impostazioni NTDS finestra di dialogo Proprietà apre.
  6. La scheda Generale è possibile specificare il controller di dominio come un server GC.
  7. Attivare la casella di controllo Catalogo globale.
  8. Fare clic su OK.

Come attivare il gruppo Universal funzione di caching

  1. Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Active Directory Siti e servizi.
  2. Nella struttura della console, fare clic sul sito che si desidera consentire l’adesione universale gruppo per il caching.
  3. Nel riquadro dei dettagli fare clic con il pulsante destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida.
  4. L’oggetto Impostazioni NTDS finestra di dialogo Proprietà apre.
  5. Controllare la Abilita cache universale gruppo di controllo.
  6. Fare clic su OK.

Come rimuovere il ruolo server GC da un controller di dominio

  1. Aperto di Active Directory Siti e servizi di console.
  2. Nella struttura della console, individuare e fare clic sul controller di dominio configurato come server GC.
  3. Fai clic destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida per aprire le Impostazioni NTDS finestra di dialogo Proprietà.
  4. Deselezionare la casella di controllo Catalogo globale.
  5. Fare clic su OK.

Come disabilitare l’universale gruppo funzione di caching

  1. Aperto di Active Directory Siti e servizi di console.
  2. Nella struttura della console, individuare e fare clic sul sito per il quale si desidera disattivare l’universale gruppo funzione di caching.
  3. Fai clic destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida per aprire le Impostazioni NTDS finestra di dialogo Proprietà.
  4. Svuota Abilita cache universale gruppo di controllo.
  5. Fare clic su OK.

Come includere altri attributi in GC

Il numero di attributi in GC GC colpisce replica. Il tuo GC più attributi server devono replicare, più il traffico di rete GC replica crea. Attributi di default sono inclusi nel GC quando Active Directory è stato messo. È possibile utilizzare la Schema di Active Directory snap-in per aggiungere ulteriori attributo alla GC. Perché lo snap-in di default non è inclusa nel menu Strumenti di amministrazione, dovete prima di aggiungere alla prima MMC si può utilizzare per personalizzare il GC.

Per aggiungere la Schema di Active Directory snap-in MMC:

  1. Fare clic sul pulsante Start, Esegui e digitare cmd nella finestra di dialogo Esegui. Premere Invio.
  2. Inserisci i seguenti al prompt dei comandi: regsvr32 schmmgmt.dll.
  3. Fare clic su OK per riconoscere che la dll è stato registrato con successo.
  4. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui.
  5. Quando si apre la MMC, selezionare Aggiungi / Rimuovi snap-in dal menu File.
  6. In Aggiungi / Rimuovi snap-in finestra di dialogo, fare clic su Aggiungi, quindi aggiungere la Schema di Active Directory snap-in dal Aggiungi snap-in finestra di dialogo.
  7. Chiudere tutte le finestre di dialogo.

Per includere altri attributi del GC:

  1. Aprire la Schema di Active Directory snap-in.
  2. Nella struttura della console, espandere il contenitore attributi, cliccate con il tasto destro un attributo e fare clic su Proprietà dal menu di scelta rapida.
  3. Ulteriori attributi sono aggiunti sulla scheda Generale.
  4. Assicurarsi che la Replica questo attributo al catalogo globale casella di controllo è attivata.
  5. Fare clic su OK.

Risoluzione dei problemi GC Server

A pochi problemi di comune esperienza con GC server sono elencati qui di seguito:

  • Query lente del tempo di risposta: Aggiungere un ulteriore GC server per la posizione con la lentezza dei tempi di risposta di query di ricerca in grado di migliorare i tempi di risposta. Gli utenti saranno in grado di utilizzare il server locale GC invece di usare il collegamento WAN lento.
  • Problemi di latenza di replica tra i server GC: È possibile aggiungere i siti per assistere con la replica del traffico.
  • Alto Carico: Se il tuo GC server si verifica un eccessivo carico, aggiungendo più GC server per gestire il carico potrebbe assistere, con il problema. Ricorda però che l’aggiunta di ulteriori server GC, GC aumento del traffico di replica.

Share

Microsoft

An Introduction to Active Directory Management Tools

17 maggio 2009

Active Directory o del servizio directory di gestione è una componente essenziale di qualsiasi processo di amministrazione di Active Directory, se viene attuato nel vostro ambiente di rete. I due tipi di metodi di gestione o di amministrazione che può essere utilizzato per gestire il servizio di directory sono:

  • Strumenti di amministrazione che utilizzano un’interfaccia utente grafica (GUI)
  • Strumenti da riga di comando

Windows Server 2003 include una serie di nuovi strumenti da riga di comando che può essere utilizzato per gestire oggetti di Active Directory come pure le varie parti di Active Directory. Strumenti di amministrazione che utilizzano una interfaccia grafica è possibile accedere tramite il menu Strumenti di amministrazione.

Il principale strumento di gestione utilizzati per la gestione di Active Directory è la Microsoft Management Console (MMC). La MMC non è un vero e proprio strumento di gestione, ma fornisce l’interfaccia per caricare MMC di Active Directory snap-in. Snap-in fornisce specifiche funzionalità amministrative. La MMC interfaccia vi permette di creare strumenti personalizzati console, e inoltre consentono di caricare più snap-in in un’unica console.

Le seguenti MMC snap-in fornisce una specifica funzionalità di amministrazione di Active Directory:

  • Active Directory Domini e trust: Utilizzata per gestire i domini, relazioni di trust di dominio, dominio di alberi e foreste, e per cambiare la modalità di dominio. Active Directory Domini e trust viene utilizzato anche per configurare il nome utente principale (UPN) suffissi.
  • Active Directory Utenti e computer: utilizzato per creare, configurare e gestire gli oggetti in Active Directory, come utenti, gruppi, computer e unità organizzative (UO).
  • Active Directory Siti e servizi: Serve per creare, configurare e gestire siti e subnet. Active Directory Siti e servizi sono utilizzati anche per gestire i controller di dominio di replica.
  • Schema di Active Directory: A differenza del già citato MMC snap-in, la Schema di Active Directory snap-in non è disponibile sul menu Strumenti di amministrazione. È necessario installare manualmente Schema di Active Directory e creare un MMC per come bene. Schema di Active Directory viene utilizzato per visualizzare e modificare schema di Active Directory.

A pochi miglioramenti introdotti in Windows Server 2003 per la gestione di Active Directory strumenti includono le seguenti funzionalità:

  • È possibile scegliere o selezionare più risorse o gli oggetti singolarmente tenendo premuto il tasto Ctrl e poi selezionando singolarmente gli oggetti o le risorse che si desidera lavorare.
  • È anche possibile selezionare una serie di oggetti contemporaneamente premuto il tasto Maiusc, fai clic sul primo oggetto e poi cliccando l’ultimo oggetto.
  • È possibile modificare e impostare le proprietà di oggetti o di più risorse.
  • Puoi trascinare gli oggetti o le risorse per nuove sedi.

In aggiunta a quanto sopra menzionato MMC snap-in, è possibile anche utilizzare Gruppo di criteri risultante per visualizzare la politica attuale di un utente su un sistema. È anche possibile pianificare cambiamenti politici utilizzando Gruppo di criteri risultante. È possibile utilizzare l’Installazione guidata di Active Directory per creare i controller di dominio, i nuovi domini, dominio di alberi e foreste. Windows Server 2003 include link alle Installazione guidata di Active Directory in Gestione guidata server. Questa è la procedura guidata che verrà visualizzata dopo il sistema operativo è installato. Strumenti di supporto di Windows anche contenere ulteriori Active Directory specifici strumenti di gestione.

Come aggiungere i tre comunemente utilizzata di Active Directory snap-in di MMC:

  1. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  2. Selezionare Aggiungi / Rimuovi snap-in dal menu File.
  3. Aggiungi / Rimuovi snap-in finestra di dialogo viene visualizzato accanto.
  4. Fare clic sulla scheda. Fare clic su Aggiungi.
  5. Il Aggiungi snap-in finestra di dialogo in cui si aggiunge di Active Directory snap-in che dovrebbe essere visualizzato in Microsoft Management Console.
  6. Fare clic su Active Directory Domini e trust da disponibili e fare clic su Aggiungi.
  7. Fare clic su Active Directory Siti e servizi a disposizione dalla lista e fare clic su Aggiungi.
  8. Fare clic su Active Directory Utenti e computer a disposizione dalla lista e fare clic su Aggiungi.
  9. Fare clic sul pulsante Chiudi.
  10. Il snap-in che è stato selezionato dovrebbe essere visualizzata in Aggiungi / Rimuovi snap-in finestra di dialogo.
  11. Fare clic su OK
  12. La console MMC albero dovrebbe ora contenere nodi per ciascuna di Active Directory snap-in.

L’Installazione guidata di Active Directory

L’Installazione guidata di Active Directory è il principale strumento che viene utilizzato per installare Active Directory, i controller di dominio e creare nuovi domini e il dominio alberi. È possibile avviare l’Installazione guidata di Active Directory utilizzando direttamente Dcpromo.exe. L’Installazione guidata di Active Directory richiede le seguenti informazioni che vi guiderà attraverso la sua serie di pagine di configurazione / schermi:

  • Il controller di dominio del tipo: La procedura guidata mostra la pagina Tipo di controller di dominio quando il computer si sta lavorando con non è un controller di dominio. Le opzioni che si possono scegliere sono:
    • Domain Controller per un nuovo dominio: Questa opzione installa Active Directory su un server e lo definisce come il primo controller di dominio per un nuovo dominio. Quando si seleziona questa opzione, l’Installazione guidata di Active Directory proventi di installare Active Directory di file di supporto, crea il nuovo dominio, e quindi con i registri DNS.
    • Controller di dominio aggiuntivo per un dominio esistente: Questa opzione installa Active Directory su un server e poi le repliche di directory di informazioni da un dominio esistente.
  • Il dominio del tipo: Se si è scelto di creare un nuovo dominio, la procedura guidata viene visualizzata la pagina Crea nuovo dominio. È possibile selezionare una delle seguenti opzioni da questa pagina:
    • Dominio In A New Forest
    • Dominio figlio in un dominio esistente Albero
    • In un albero di dominio esistenti Foresta
  • Impostare i nomi di dominio: In Nuova pagina del nome di dominio, è necessario specificare un nome DNS per il dominio, nonché uno dei nomi NetBIOS per il dominio. Il nome NetBIOS per il dominio saranno utilizzati da clienti che non supporta Active Directory.
  • Database di Active Directory e accedi cartella: La procedura guidata viene chiesto di immettere la posizione del database di Active Directory e la cartella sul file di log del database e del log delle cartelle pagina. La posizione che si immette deve essere su un volume NTFS.
  • Volume di sistema condiviso cartella: Dovete inserire il percorso del volume di sistema condiviso sul volume di sistema condiviso pagina.
  • Autorizzazioni predefinite per l’utente e il gruppo di oggetti: L’Autorizzazioni compatibili soltanto con Windows 2000 e Windows Server 2003 Sistemi Operativi opzione dovrebbe essere selezionata.
  • Modalità ripristino servizi directory account Administrator password: È necessario immettere la password per l’account Administrator in modalità di ripristino del server qui. Questa password dovrebbe essere di solito necessario per utilizzare la Console di ripristino di emergenza.

Come usare l’Installazione guidata di Active Directory per installare Active Directory per un nuovo dominio

  1. Fare clic sul pulsante Start, Esegui, quindi digitare dcpromo nella finestra di dialogo Esegui. Fare clic su OK
  2. Questa azione avvia il Installazione guidata di Active Directory.
  3. Quando il benvenuto al Installazione guidata di Active Directory apre la pagina, fare clic su Avanti.
  4. Fare clic su Avanti e sulla compatibilità del sistema operativo pagina.
  5. Selezionare il controller di dominio per un nuovo dominio opzione sulla pagina Tipo di controller di dominio. Fare clic su Avanti.
  6. Quando la procedura guidata viene visualizzata la pagina Crea nuovo dominio, verificare che il dominio in A New Forest opzione è selezionata fare clic su Avanti.
  7. L’Installazione guidata di Active Directory ora mostra il nuovo nome di dominio pagina. Questo è il punto in cui inserire il nome DNS del dominio in nome del DNS Per la Nuova casella Dominio. Fare clic su Avanti.
  8. È possibile accettare il nome NetBIOS predefinito visualizzato sulla pagina del nome di dominio NetBIOS. Fare clic su Avanti.
  9. Inserisci il buon località nel database delle cartelle e caselle Entra cartella del database e delle cartelle Entra pagina. Fare clic su Avanti
  10. Quando il volume di sistema condiviso pagina viene visualizzata, immettere il percorso del volume di sistema condiviso nella cartella Cartella casella. Fare clic su Avanti.
  11. Il DNS Registrazione diagnostica pagina, selezionare l’opzione appropriata. Fare clic su Avanti.
  12. Quando la procedura guidata visualizza la pagina Autorizzazioni, selezionare Autorizzazioni compatibili soltanto con Windows 2000 e Windows Server 2003 Sistemi Operativi opzione. Fare clic su Avanti.
  13. Sulla modalità ripristino servizi directory amministratore pagina Password, immettere la password. Fare clic su Avanti
  14. L’Installazione guidata di Active Directory ora visualizza la pagina Riepilogo. Tutte le opzioni di configurazione che è stata selezionata come la navigazione attraverso le pagine della procedura guidata sono riassunte in questa pagina. Fare clic su Avanti per proseguire con l’installazione.
  15. Quando il completamento L’Installazione guidata di Active Directory viene visualizzata la pagina, fare clic su Fine, quindi Riavvia.
  16. Quando il server è ora presente un controller di dominio viene visualizzata la pagina, fare clic su Fine pure.

L’Active Directory Domini e trust di console

L’Active Directory Domini e trust di console è utilizzato per gestire i domini e di relazioni di trust tra domini e foreste, cambiare la modalità di dominio e impostare il nome utente principale (UPN) suffissi per la foresta. Con l’installazione di Windows 2003 Server, Active Directory Domini e trust di console di default è aggiunto al menu Start. Il snap-in MMC di file, Domain.msc, può essere utilizzato per avviare Active Directory Domini e trust dalla finestra di dialogo Esegui. È inoltre possibile avviare la console da Strumenti di amministrazione. I compiti amministrativi attivato da Active Directory Domini e trust può essere letta dal menu Azione visualizzato selezionando un nome di dominio o l’oggetto principale. È inoltre possibile eseguire i compiti di gestione sulla finestra di dialogo Proprietà di un dominio.

I compiti amministrativi che è possibile utilizzare Active Directory Domini e trust di snap-in MMC sono riassunte qui di seguito:

  • Visualizza una console che elenca tutti i domini in una foresta
  • Cambia la modalità di dominio da Windows 2000 in modalità mista alla modalità nativa di Windows 2000 o Windows Server 2003 a livello funzionale. Il dominio in modalità ora noto come il livello funzionalità di dominio.
  • Configurare l’interoperabilità con altri domini in Windows Server 2003, le foreste e pre-Microsoft Windows 2000 domini precisando attraverso relazioni di trust tra i domini.
  • Trasferire la denominazione dei domini del ruolo di master operazioni da un controller di dominio a un altro controller di dominio.
  • Aggiungere, eliminare e modificare il nome utente principale (UPN) suffissi.

Livelli di funzionalità di dominio ti consentono di attivare funzioni di Active Directory e la funzionalità nel settore forestale e per la rete. Windows Server 2003 aggiunge ulteriori funzionalità basate sulla modalità della foresta. Quando un nuovo dominio è stato creato in una nuova foresta, il livello di funzionalità per il dominio è Windows 2000 in modalità mista, e il livello di funzionalità per il nuovo foresta è la modalità di Windows 2000. Quando si esegue l’aggiornamento del controller di dominio in una foresta, è possibile migliorare il livello di funzionalità per supportare ulteriori funzionalità di Active Directory e funzionalità.

Le seguenti funzionalità di dominio esistono livelli:

  • Windows 2000 misto a livello funzionalità di dominio è supportato da Windows NT 4, Windows 2000 e Windows Server 2003 i controller di dominio.
  • Windows 2000 nativo a livello funzionalità di dominio è supportato da Windows 2000 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 interim livello funzionalità di dominio è supportato da Windows NT 4 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 a livello funzionalità di dominio è supportato da Windows Server 2003 i controller di dominio.

Le seguenti funzionalità foresta esistono livelli:

  • Funzionalità di Windows 2000 è supportato da Windows NT 4, Windows 2000 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 interim foresta funzionalità è supportato da Windows NT 4 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 a livello funzionalità è supportato da Windows Server 2003 i controller di dominio.

È possibile utilizzare Active Directory Domini e trust di console per creare i seguenti tipi di trust tra domini e foreste:

  • Albero-radice la fiducia
  • Genitore-figlio fiducia
  • Scorciatoia fiducia
  • Forest fiducia
  • Realm fiducia
  • Esterne fiducia

Come cambiare il livello funzionalità di dominio utilizzando Active Directory Domini e trust

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Procedere alla clic con il pulsante destro del dominio che si desidera aggiornare e fare clic su Aumenta livello funzionalità di dominio dal menu di scelta rapida.
  3. Quando il Alza livello funzionalità di dominio si apre la finestra di dialogo, utilizzare il Selezionare un livello funzionalità dominio disponibile elenco a discesa per scegliere il livello funzionalità di dominio che si desidera utilizzare. L’elenco a discesa visualizza solo i livelli che possono essere specificate per il particolare dominio.
  4. Fare clic sul pulsante Alza
  5. Quando il livello funzionalità di dominio Alza messaggio viene visualizzato, fare clic su OK.

Come cambiare il livello funzionalità della foresta utilizzando Active Directory Domini e trust

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Procedere alla clic con il pulsante destro del dominio che si desidera aggiornare e fare clic su Aumenta livello funzionalità dal menu di scelta rapida.
  3. Quando la Foresta Alza il livello funzionale si apre la finestra di dialogo, utilizzare il Selezionare un livello funzionalità disponibili elenco a discesa per scegliere il livello di funzionalità delle foreste che si desidera utilizzare. L’elenco a discesa visualizza solo i livelli che possono essere specificate per il bosco.
  4. Fare clic sul pulsante Alza
  5. Quando la Foresta Alza il livello funzionale messaggio viene visualizzato, fare clic su OK

Come aggiungere o rimuovere i suffissi UPN

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Fai clic destro di Active Directory Domini e trust di nodo e selezionare Proprietà dal menu di scelta rapida.
  3. Quando Active Directory Domini e trust di finestra di dialogo, fare clic sulla scheda Suffissi UPN.
  4. Se si desidera aggiungere un suffisso UPN, utilizzare la casella di alternative Suffissi UPN per inserire un suffisso UPN alternativo. Fare clic su Aggiungi
  5. Se si desidera rimuovere un suffisso UPN, utilizzare il alternative Suffissi UPN casella per indicare il suffisso UPN che dovrebbero essere rimossi. Fare clic sul pulsante Rimuovi.
  6. Fare clic su Sì per verificare la tua configurazione e quindi fare clic su OK.

Come configurare diversi tipi di trust tra domini e foreste utilizzando Active Directory Domini e trust

Utilizzare la procedura descritta di seguito per creare il collegamento tra i due domini di fiducia in una foresta:

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Fare clic col tasto destro del nodo di dominio per il dominio che si desidera configurare collegamento fiducia per l’utilizzo della console e selezionare Proprietà dal menu di scelta rapida.
  3. Quando la finestra di dialogo Proprietà, fare clic sulla scheda Trust.
  4. Questa è la scheda utilizzata per creare nuove relazioni di trust tra domini
  5. Fare clic su Nuovo per avviare la Trust Nuovo Trust guidata.
  6. Fare clic su Avanti nella Welcome To The New Trust guidata pagina.
  7. Quando la pagina viene visualizzata Nome Trust, nella casella Nome, immettere il nome del dominio che si desidera utilizzare per creare la fiducia. Fare clic su Avanti
  8. Selezionare una delle seguenti opzioni sulla direzione della Trust pagina:
    • Two-Way
    • One-Way: in arrivo
    • One-Way: in uscita
  9. Fare clic su Avanti, quando i lati del trust pagina visualizzata, scegliere tra le seguenti opzioni:
    • Questo dominio solo per il rapporto di fiducia per essere creato nel dominio locale.
    • Entrambi Questo dominio e il dominio specificato per il rapporto di fiducia devono essere creati in entrambi i domini
  10. Fare clic su Avanti. La procedura guidata utilizza ora le opzioni che hai selezionato in questa fase e il passaggio precedente per visualizzare le pagine del caso.
  11. Il livello di autenticazione di trust in uscita viene visualizzata la pagina se avete precedentemente selezionato i seguenti: a due vie o One-Way: in uscita e questo dominio è.
    • È ora possibile selezionare l’opzione di autenticazione a livello di dominio o l’autenticazione selettiva per specificare l’autenticazione degli utenti. Fare clic su Avanti.
  12. Il Trust Password viene visualizzata la pagina, se in precedenza hai selezionato i seguenti: Uno-Way: in arrivo e questo dominio è stato
    • Devi inserire una password nella casella Password e Trust Conferma Fiducia casella Password. Fare clic su Avanti.
  13. Nome utente e password viene visualizzata la pagina, se in precedenza hai selezionato sia il dominio e il dominio specificato.
    • “È necessario immettere un nome utente e la password di un account che dispone di privilegi amministrativi nel dominio il nome utente e la password box. Fare clic su Avanti
  14. La procedura guidata visualizza la pagina completa Trust selezioni. Questa pagina contiene un elenco di tutte le opzioni di configurazione che hai specificato. Fare clic su Avanti
  15. Quando il trust Creazione completa pagina visualizzata, fare clic su Avanti
  16. Quando la posta in uscita Conferma Fiducia pagina visualizzata, scegliere tra le seguenti opzioni:
  17. Si, conferma il trust in uscita
  18. No, non confermare la fiducia in uscita
  19. Fare clic su Avanti
  20. Quando l’arrivo Conferma Fiducia pagina visualizzata, scegliere tra le seguenti opzioni:
    • Sì, conferma il trust in ingresso
    • No, non conferma il trust in ingresso
  21. Fare clic su Nexti
  22. Quando il completamento del Nuovo Trust guidata viene visualizzata la pagina, fare clic su Fine.

L’Active Directory Siti e servizi di Console

Quando avete bisogno di creare ed eseguire compiti amministrativi sui siti, si usa di Active Directory Siti e servizi di console. Poiché utilizza i siti di Active Directory durante l’autenticazione e la replica, la gestione dei siti in Active Directory è importante e può essere molto complicato. Attraverso l’uso di Active Directory Siti e servizi, è possibile controllare il modo in cui viene replicata una directory all’interno di un sito e tra i siti. Active Directory Siti e servizi ti consentono di configurare le connessioni tra i vari siti, e quindi specificare le modalità di replica dovrebbe verificarsi. Quando si apre di Active Directory Siti e servizi della console, si sono presentati con i contenitori che possono essere utilizzati per creare nuovi siti, e per gestire i siti nel vostro ambiente di rete.

Il primo sito oggetto, Default-First-Site-Name, viene creato quando si installa il primo controller di dominio nella rete. Questo sito è collegato con il server che è stato promosso a controller di dominio. Si consiglia di rinominare il sito oggetto di un nome che ha qualche significato nella vostra organizzazione.

L’Inter-Site Transports contenitore sito contiene link. Puoi utilizzare questo contenitore di creare collegamenti tra i siti. Quando si crea una connessione sotto il contenitore IP, la connessione potrebbe utilizzare il protocollo di trasporto IP. Allo stesso modo, quando si crea un link sotto il contenitore SMTP, tali legami utilizzare il Simple Mail Transfer Protocol (SMTP) e non PI.

La subnet contenitore contiene informazioni sulla subnet nella rete. Puoi utilizzare questo contenitore per raggruppare diverse sottoreti a forma di un sito.

Come rinominare il primo sito oggetto di Active Directory utilizzando Siti e servizi

  1. Aperto di Active Directory Siti e servizi
  2. Fai clic destro Default-First-Site-Name, quindi selezionare Rinomina dal menu di scelta rapida.
  3. Procedere per impostare un nome significativo per il sito.

Come creare un nuovo sito oggetto di Active Directory utilizzando Siti e servizi

  1. Aperto di Active Directory Siti e servizi
  2. Fai clic destro sulla Siti, quindi fare clic su Nuovo sito dal menu di scelta rapida.
  3. Il New Object – (sito), appare la finestra di dialogo successiva.
  4. Immettere un nome per il sito nella casella Nome.
  5. Inserire un sito di legame per il sito oggetto nella casella Nome Link.
  6. Fare clic su OK.

Come passare a un server di un nuovo sito di Active Directory utilizzando Siti e servizi

  1. Aperto di Active Directory Siti e servizi
  2. Espandere il nodo Siti nella struttura della console, e fare clic sul sito che contiene il server che si desidera spostare.
  3. Fai clic destro sul server, quindi scegliere Sposta dal menu di scelta rapida.
  4. Quando il server Spostare finestre appare, specificare un nuovo sito per il server.
  5. Fare clic su OK

L’utente di Active Directory e Computer Console

Puoi utilizzare Active Directory Utenti e computer per visualizzare e gestire account utente, gruppi, account computer, unità organizzative, e molti altri oggetti di Active Directory. Attraverso di Active Directory Utenti e computer di console, è possibile visualizzare, creare, impostare le autorizzazioni, modificare, cancellare e spostare gli oggetti memorizzati in Active Directory. Dopo aver creato un controller di dominio, i contenitori che vengono creati per impostazione predefinita sono riassunte qui di seguito. È possibile tuttavia creare ulteriori contenitori.

  • Builtin contenitore: in Windows Server 2003, il contenitore che memorizza i gruppi di Windows Server 2003 creato. Questi gruppi possono essere utilizzati per gestire l’accesso per gli utenti che sono autorizzati a svolgere funzioni specifiche.
  • Contenitore Computer: computer oggetti sono conservati in questo contenitore. Conti che utilizzano applicazioni di accedere a Active Directory vengono memorizzate anche nel contenitore Computer.
  • Domain Controller contenitore: Oggetti che significano i controller di dominio all’interno del dominio sono memorizzate nel controller di dominio contenitore.
  • Utenti contenitore: Gli account utente e gruppi si trovano nel contenitore Utenti.

Quando sono attivate le funzioni avanzate; ulteriori contenitori vengono mostrati insieme al contenitori appena citato:

  • LostAndFound contenitore: Oggetti cui i contenitori sono stati eliminati o spostati in un luogo che non potevano essere trovati, sono memorizzati in questo contenitore.
  • Sistema di contenitori: Questo contenitore memorizza le impostazioni di sistema per i contenitori di Active Directory e oggetti.

Come aggiungere un nuovo account utente di dominio utilizzando Active Directory Utenti e computer

  1. Aperto di Active Directory Utenti e computer.
  2. Fai clic sul dominio, fare clic con il quale la UO di account utente di dominio deve essere conservato, e selezionare Nuovo, quindi l’utente dal menu di scelta rapida.
  3. Quando il New Object-utente visualizzata la finestra di dialogo, immettere le informazioni appropriate nelle seguenti caselle:
    • Nome: Inserire il nome del primo utente.
    • Iniziali: Immettere le iniziali degli utenti
    • Cognome: Inserire il cognome dell ‘utente
    • Nome e Cognome: Questa informazione è automaticamente utilizzando le informazioni immesse nella prima tre caselle. Nome e cognome è il nome che sarà visualizzato nella OU che memorizza l’account utente.
    • Accesso Nome utente: Immettere il nome unico di accesso degli utenti.
    • Nome accesso utente (precedente a Windows 2000): Questa informazione viene automaticamente popolata.
  4. Fare clic su Avanti
  5. Nella seconda New Object-User finestra di dialogo che viene visualizzata, è necessario immettere la password impostazioni per il nuovo account utente di dominio.
    • Password: Inserisci la password che sarà utilizzata per autenticare l’utente.
    • Conferma Password: Re-inserisci la password.
  6. È anche possibile attivare le seguenti caselle di controllo per il nuovo account utente
    • L’utente deve cambiare la password all’accesso successivo: Quando è abilitato, l’utente deve cambiare la password quando egli accede prossimo.
    • Utente Impossibile cambiare la password: Questa opzione è solitamente attivata per l’account Guest.
    • Nessuna scadenza password: Questa opzione è attivata per gli account di Windows utilizzato da programmi o servizi.
    • Account viene disattivato: Se attivato, l’account utente non può più essere utilizzata.
  7. Fare clic su Avanti
  8. Verificare che il nome utente e il nome di accesso dettagli per il nuovo account utente siano corrette.
  9. Fare clic su Fine.

Come modificare un account utente di dominio ‘utilizzando le proprietà di Active Directory Utenti e computer

  1. Aperto di Active Directory Utenti e computer.
  2. Fai clic sul dominio e quindi selezionare l’unità organizzativa che contiene l’account utente di dominio.
  3. Individuare e fare clic con account utente di dominio che si desidera modificare le impostazioni di proprietà, e scegliere Proprietà dal menu di scelta rapida.
  4. Fare clic sulla scheda che contiene le impostazioni che si desidera modificare.
  5. Dopo aver modificato le impostazioni necessarie, fare clic su OK

La Schema di Active Directory snap-in

Lo schema di Active Directory, definisce i tipi di oggetti che possono essere memorizzati nel database. Essa definisce anche gli attributi di tali oggetti. Per visualizzare e modificare lo schema, è necessario utilizzare la Schema di Active Directory snap-in. La Schema di Active Directory snap-in non è visualizzato per impostazione predefinita il menu Strumenti di amministrazione. Per questo motivo, si dovrebbe installare lo snap-in e quindi creare un MMC per come bene.

Come installare la Schema di Active Directory snap-in e per creare un MMC è

  1. Fare clic sul pulsante Start, quindi fare clic su Prompt dei comandi
  2. Inserisci regsvr32 schmmgmt.dll.
  3. Fare clic sul pulsante Start, quindi Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  4. Selezionare Aggiungi / Rimuovi snap-in dal menu File
  5. Aggiungi / Rimuovi snap-in finestra di dialogo viene visualizzato accanto.
  6. Fare clic sulla scheda. Fare clic su Aggiungi
  7. Il Aggiungi snap-in finestra di dialogo in cui si aggiunge di Active Directory snap-in. Fare doppio clic su Schema di Active Directory. Fare clic sul pulsante Chiudi
  8. Fare clic su OK nella Aggiungi / Rimuovi snap-in finestra di dialogo
  9. Fare clic su Salva dal menu File.
  10. Quando la finestra di dialogo Salva con nome viene visualizzato, verificare che la scatola contiene Salva in Strumenti di amministrazione.
  11. Nella casella Nome file, immettere Schema di Active Directory. Fare clic su Salva.
  12. La Schema di Active Directory snap-in ora essere visualizzati sul menu Strumenti di amministrazione.

Come creare un nuovo oggetto utilizzando l’attributo Schema di Active Directory snap-in

  1. Aprire la Schema di Active Directory
  2. Nella struttura della console, fare clic con gli attributi, quindi selezionare Crea attributo dal menu di scelta rapida.
  3. Quando l’attributo Crea nuova finestra di dialogo, nella sezione di identificazione della scatola, è necessario immettere il nome per il nuovo attributo oggetto.
  4. Nel comune casella Nome immettere il nome che verrà utilizzato quando l’attributo appare nelle finestre di dialogo.
  5. Nella casella Nome visualizzato LDAP, immettere il nome per l’oggetto associato con la directory LDAP.
  6. In Unico X.500 Object ID casella, immettere un ID univoco che identifica l’attributo oggetto in X.500 nomi.
  7. Nella casella Descrizione, inserire la descrizione di un oggetto.
  8. Usando la sintassi e la gamma della sezione Crea nuovo attributo finestra di dialogo, specificare il tipo di dati possono essere archiviati in particolare attributo.
  9. Fare clic su OK per creare l’attributo oggetto.

L’Active Directory Strumenti di supporto di Windows

Molti di Active Directory specifici strumenti di supporto si trovano in Strumenti di supporto di Windows toolkit. È possibile utilizzare questi strumenti per configurare, gestire e risolvere i problemi di Active Directory. Strumenti di supporto di Windows può essere trovato sul CD di Windows Server 2003 nella cartella Strumenti. Prima di poter utilizzare questi strumenti, è necessario installarlo dal CD di Windows Server 2003. L’Active Directory specifici strumenti di supporto sono riassunti nella sezione seguente:

  • Acldiag.exe: Usato per determinare se un utente è stato concesso l’accesso o negato l’accesso a un oggetto in Active Directory.
  • Adsiedit.msc: Utilizzato per aggiungere, cancellare e spostare gli oggetti, e di modificare o eliminare gli attributi oggetto.
  • Dcdiag.exe: Usato per determinare lo stato del controller di dominio nella foresta / impresa.
  • Dfsutil.exe: Usato per gestire il Distributed File System (DFS) e per visualizzare le informazioni DFS.
  • Dsacls.exe: Utilizzato per gestire le ACL per oggetti di Active Directory.
  • Dsastat.exe: Per comparare i contesti dei nomi sul controller di dominio.
  • Ldifde: Serve per creare, eliminare e modificare gli oggetti su computer che eseguono Windows XP Professional e Windows Server 2003.
  • Ldp.exe: Utilizzato per effettuare Lightweight Directory Access Protocol (LDAP) funzioni di Active Directory.
  • Movetree.exe: Usato per spostare gli oggetti da un dominio a un altro dominio.
  • Netdom.exe: Può essere usato per gestire i domini e di relazioni di trust.
  • Nltest.exe: Può essere usato per visualizzare le informazioni sul controller di dominio primario, i trust e la replica.
  • Repadmin.exe: Usato per controllare, diagnosticare e gestire i problemi di replica.
  • Replmon.exe: Usato per monitorare e gestire la replica attraverso una interfaccia utente grafica (GUI).
  • Sdcheck.exe: Visualizza il descrittore di protezione per oggetti di Active Directory, e può essere utilizzato per controllare la propagazione ACL, la replica e se le ACL vengono ereditate correttamente.
  • Setspn.exe: Usato per visualizzare, modificare o cancellare i nomi principale del servizio (SPN) directory di proprietà di un servizio per conto di Active Directory.
  • Sidwalker.exe: Usato per configurare le ACL su oggetti che appartenevano a entrambi i conti spostati o cancellati.

Active Directory strumenti da riga di comando

È inoltre possibile utilizzare una serie di strumenti da riga di comando per la gestione di Active Directory. Windows Server 2003 ha introdotto una serie di DS strumenti da riga di comando che può essere utilizzato per amministrare Active Directory. La strumenti da riga di comando disponibili per la gestione di Active Directory funzioni sono riassunte qui di seguito:

  • Cacls: Usato per visualizzare e modificare i permessi utente e di gruppo di risorse. Attraverso cacls, è possibile modificare le liste di controllo di accesso discrezionale (DACL) per i file.

La sintassi per cacls è: cacls nomefile. Gli interruttori per il comando sono:

    • / t, modifica il DACL per i file nella directory e sottodirectory
    • / e, il DACL modifiche.
    • / r nome utente, la revoca dei diritti degli utenti
    • / c, gli errori che si sono verificati quando si cambia il DACL viene ignorato.
    • / g utente: autorizzazione, concede diritti (f – Controllo completo, r – Leggi, w – Scrivere, c – Cambia, n-Nessuno) ad un utente.
    • / P utente: autorizzazione, sostituisce i diritti di un utente.
    • / d nome utente, nega l’accesso ad un particolare utente
  • Cmdkey: Usato per visualizzare, creare, modificare e cancellare i nomi utente, password e credenziali. A pochi passa per il comando sono elencate di seguito:
    • / add: targetname, aggiunge un nome utente / password per l’elenco. Indica il dominio / computer per l’entrata.
    • / user: nome utente, il nome utente che l’entrata è legato al.
    • / generici, aggiunge generico credenziali
    • / smart card, le credenziali sono ottenuti da una smart card
    • / pass: la password, la password deve essere conservato per l’entrata.
  • Csvde: Si tratta di uno strumento utilizzato per l’importazione e l’esportazione dei dati da Active Directory.
  • Dcgpofix: Usato per tornare oggetti Criteri di gruppo per il loro stato originale, che è lo Stato che, quando erano in prima installato.
  • Dsget: Usato per visualizzare le proprietà di un oggetto in Active Directory. I comandi che possono essere utilizzati sono:
    • dsget utente, per visualizzare le proprietà di un utente
    • dsget gruppo, per visualizzare le proprietà di un gruppo
    • dsget computer, per visualizzare le proprietà di un computer
    • dsget sito, per visualizzare le proprietà di un sito
    • dsget sottorete, per visualizzare le proprietà di una sottorete
    • dsget o, per visualizzare una unità organizzativa della proprietà
    • dsget contatto, per visualizzare le proprietà di un contatto
    • dsget server per visualizzare un controller di dominio della proprietà
    • dsget partizione, per visualizzare una directory della partizione di proprietà
    • dsget quota, to view a quota’s properties
  • Dsadd: Used to create objects in Active Directory including users, groups, computers, OUs, contacts and quota specifications. The commands that can be utilized are:
    • dsadd user, used to add a user
    • dsadd group, used to add a group
    • dsadd computer, used to add a computer
    • dsadd ou, used to add an OU.
    • dsadd contact, used to add a contact
    • dsadd quota, used to add a quota specification
  • Dsmod: Used to modify the attributes of an existing object in Active Directory. The commands that can be utilized are:
    • dsmod user, used to modify a user’s attributes
    • dsmod group, used to modify a group’s attributes
    • dsmod computer, used to modify a computer’s properties
    • dsmod ou, used to modify an organizational unit’s attributes
    • dsmod contact, used to modify a contact
    • dsmod server, used to modify a domain controller’s properties
    • dsmod partition, used to modify a directory partition
    • dsmod quota, used to modify a quota’s properties
  • Dsmove: Used to move an Active Directory object to a new container within the domain.
  • Dsrm: Used to remove an Active Directory object or container.
  • Dsquery: Used to locate or find object(s) that match the defined search criteria.
  • Ldifde: Used to create, delete and modify objects from the Active Directory directory, to import or export user/group information, and to extend the Active Directory schema.
  • Ntdsutil: Used to manage domains, information in the Active Directory directory and log files. You can also use Ntdsutil when needing to do an authoritative restore of Active Directory. The tool is also used to manage SIDs and the master operation roles.
  • Whoami: Used to view information on the user that is currently logged on.

Share

Microsoft

Troubleshooting, Disaster Protection & Recovery Active Directory

17 maggio 2009

Tratto da: http://technet.microsoft.com/it-it/library/cc645506.aspx

Pianificazione delle operazioni di restore del System State in un contesto AD

Il restore del System State in un contesto AD è un’operazione delicata e importante in quanto tutti i DC sono impegnati continuamente a replicare le informazioni inerenti le partizioni tra loro condivise. Tutti i DC potenzialmente possono replicare oggetti delle partizioni Schema e Configuration, mentre solamente i DC appartenenti ad uno stesso dominio possono, e devono, replicarsi le informazioni in esso contenute.

In generale esistono quattro possibilità di restore del System State in un contesto AD:

  • Alternate location o restore in una posizione alternativa.
  • Primary restore o restore primario.
  • Normal restore o restore non-autoritativo.
  • Authoritative restore o restore non-autoritativo.

Nella scelta di una metodologia per il restore occorre tenere in considerazione i seguenti fattori:

  • Il backup del System State effettuato su un DC contiene tutte le informazioni relative alla replica di AD (e.g.: database NTDS.DIT, file di log e SysVol) da esso ospitata (oltre a informazioni sui Registry, file di boot, ecc.). Tutti gli oggetti AD contenuti in un set di backup del System State, sono caratterizzati dal timestamp e dal version number (o Update Sequence Number (USN)) relativi alla data e ora di effettuazione del backup.
  • Una operazione di backup o restore del System State coinvolge complessivamente tutto il blocco di informazioni relativo ad un computer, e non è possibile selezionare solamente alcuni componenti (se non operando un restore in alternate location, come di seguito indicato).
  • Infrastruttura logica AD: quanti altri DC esistono all’interno dello stesso dominio o di altri domini.
  • Infrastruttura fisica AD: quanti altri DC esistono nello stesso site dello stesso dominio o di altri domini.
  • Se alcuni o tutti gli oggetti AD (e.g.: l’intero database AD o solo una OU (con il relativo contenuto) o solamente un utente) ripristinati con il restore del System State devono essere “imposti” agli altri DC oppure se essi saranno soggetti alla replica degli altri DC partner dello stesso dominio o di altri domini della stessa foresta ?
attenzione Restore “FRS-aware” e “non-FRS-aware”

Il restore eseguito su server non DC è sempre di tipo non-FRS-aware, nel senso che il server assume di far parte di un ambiente “non replicato” (tranne che non faccia parte di un set di replica DFS) e che non esistano altre repliche su altri server. Esso pertanto è da considerarsi un restore autoritativo. Viceversa nel caso di un DC il restore è inteso sempre di tipo FRS-aware, nel senso che il DC assume di default di trovarsi in un ambiente “replicato” nel quale possono esistere altri DC ciascuno dotato di una propria replica. In tal caso il restore è di default non-autoritativo (i.e. il flag When restoring replicated data sets, mark the restored data as the primary data for all replicas non è inserito).

attenzione Restore “FRS-aware” e “non-FRS-aware”

Il restore eseguito su server non DC è sempre di tipo non-FRS-aware, nel senso che il server assume di far parte di un ambiente “non replicato” (tranne che non faccia parte di un set di replica DFS) e che non esistano altre repliche su altri server. Esso pertanto è da considerarsi un restore autoritativo. Viceversa nel caso di un DC il restore è inteso sempre di tipo FRS-aware, nel senso che il DC assume di default di trovarsi in un ambiente “replicato” nel quale possono esistere altri DC ciascuno dotato di una propria replica. In tal caso il restore è di default non-autoritativo (i.e. il flag When restoring replicated data sets, mark the restored data as the primary data for all replicas non è inserito).

attenzione Attenzione !

  1. Quando si effettua il restore del System State senza specificare l’opzione “Alternate Location”, vengono sovrascritte tutte le informazioni inerenti il set di informazioni del System State sul computer sul quale avviene l’operazione di restore (compreso i registry).

Il restore del System State su un DC richiede il riavvio del computer in modalità DSRM.

Restore del System State in una posizione alternativa

Il restore in “Alternate location” del System State si effettua selezionando l’opzione “Restore file to: Alternate Location” nella scheda “Restore and Manage Media”, come indicato in figura 4. Nel caso di un domain controller Win2K3 le componenti ripristinate nella directory indicata come locazione alternativa (e.g.: C:\NtdsRestore) sono i seguenti:

  • Active Directory
  • Boot Files.
  • COM+ Class Registration Database
  • Registry.
  • SysVol.

Questo tipo di restore viene effettuato nei casi in cui è necessario recuperare, su un computer diverso da quello sul quale è stato generato il System State, solamente alcune parti (e.g.: singole GPO o parte dei registry) senza rischiare di sovrascrivere completamente i dati del System State del computer sul quale si opera, oppure in preparazione della promozione di un domain controller addizionale (i.e.: additional domain controller) in un dominio tramite il comando DCPROMO /ADV (i.e.: modalità Installa From Media (IFM)).

image 4

Figure 4: Restore del System State in una posizione alternativa (Alternate Location)

Restore primario

Il restore primario viene effettuato nel caso in cui un server o DC è l’unico all’interno di un set di replica (FRS, SysVol) oppure se intenzionalmente si vuole forzare il contenuto a tutti gli altri server dello stesso set di replica. Viene utilizzato solamente in caso di ricostruzione di una infrastruttura AD o FRS (e.g.: DFS) nella quale tutti i DC di uno stesso dominio hanno avuto dei problemi e devono essere reinstallati. Un’altra “situazione problematica” nella quale è richiesto di effettuare un restore primario è quella citata nei due seguenti articoli: Microsoft Knowledge Base 290762 “FRS: Using the BurFlags Registry Key to Reinitialize File Replication Service Replica Sets”e 292438 “Troubleshooting journal_wrap errors on Sysvol and DFS replica sets”.

Per effettuare un restore primario è necessario seguire la seguente procedura:

  • Avviare l’utility NTBACKUP.
  • Selezionare la scheda Restore and Manage Media e selezionare i file da ripristinare (e.g.: System State).
  • Cliccare sul bottone Start Restore.
  • Cliccare sul bottone Advanced e selezionare la voce “When restoring replicated data sets, mark the restored data as the primary data for all replicas”.

image 5

Figure 5: Restore Primario
attenzione Attenzione !

Eseguire un restore primario solamente in caso di “disastro” e quando nessun altro membro dello stesso set di replica (o domain controller di dominio) è stato precedentemente ripristinato.

Restore normale o non-autoritativo

Il restore normale o non-autoritativo (modalità di default) del System State di un DC viene effettuato per ripristinare un DC nello stato corrispondente alla “fotografia” del suo System State, rispetto alla data e ora della sua esecuzione. Ciò vuol dire che tutti gli oggetti AD verranno ripristinati dal set di backup nel loro stato originale. Successivamente, al primo evento di replica del DC con gli eventuali partner di replica, gli oggetti e/o attributi, che nel frattempo sono stati modificati o aggiunti nelle repliche AD degli altri DC partner, verranno sovrascritti o aggiunti alla copia del database precedentemente ripristinato.

Per effettuare un restore non-autoritativo è necessario seguire la seguente procedura:

  • Riavviare il DC in modalità provvisoria e selezionare la voce “Directory Service Restore Mode (DSRM)”.
  • Eseguire il logon con l’account administrator e la password della “SAM Off-Line
  • Avviare l’utility NTBACKUP.
  • Selezionare la scheda Restore and Manage Media e selezionare il set di backup del System State da ripristinare.
  • Cliccare sul bottone Start Restore.
attenzione Attenzione !

Non modificare l’opzione “Restore files to: Original Location.

  • Confermare cliccando sul bottone OK all’interno della finestra del messaggio di sovrascrittura del System State corrente riportato in figura 6.

image 6

Figure 6: Avviso che il restore del System State sovrascriverà l’attuale System State presente sul computer
  • Confermare cliccando sul bottone OK all’interno della finestra Confirm Restore.
  • Verificare che il restore sia andato a buon fine e cliccare sul bottone Close all’interno della finestra Restore Progress.
  • Riavviare il DC (questa volta in modalità normale) cliccando sul bottone Yes all’interno della finestra Backup Utility indicata in figura 7.

image 7

Figure 7: Riavviare il DC per completare il restore non-autoritativo

Successivamente alla esecuzione di un restore non-autoritativo, al riavvio del DC, vengono effettuate le seguenti verifiche:

  • Controllo di consistenza del database.
  • Ricostruzione indici.
  • Allinenamento con lo stato del SDS AD (database AD e SysVol) corrispondente agli altri DC partner di replica.

Il restore non-autoritativo può essere utile in uno dei seguenti casi:

  • Il DC danneggiato (e.g.: corruzione del database o guasto al computer) è l’unico di un dominio/foresta: in tal caso non esiste la possibilità di replicare con nessun altro DC e quindi il System State ripristinato sarà definitivo (i.e.: in tal caso è come se fosse autoritativo).
  • Il DC danneggiato (e.g.: corruzione del database o guasto al computer) non è l’unico di un dominio/foresta: in tal caso il System State ripristinato sarà in parte (i.e.: relativamente a tutti gli oggetti modificati e/o aggiunti successivamente alla data e ora di esecuzione del backup del System State) sovrascritti dagli altri DC partner di replica.
attenzione Restore non-autoritativo in un contesto Win2K

Il restore non-autoritativo era molto utilizzato in ambiente AD Win2K in caso di reinstallazione di DC (conseguente a crash) in sedi remote ed in presenza di linee di collegamento non molto performanti. In queste condizioni per evitare la replicazione dell’intero database AD e della SysVol attraverso la rete geografica (WAN) a partire da un DC di un altro site (e.g.: sede centrale) si potevano adottare due metodi:

  • Effettuare la reinstallazione del nuovo DC direttamente in sede come un qualsiasi DC del site centrale. Successivamente, dopo aver modificato opportunamente i parametri relativi alla configurazione TCP/IP e spostato l’oggetto server dal site centrale al site della sede remota di appartenenza, rispedire il DC.
  • Effettuare un restore non-autoritativo su un nuovo server nel seguente modo:
    • Reinstallazione del computer con la stessa configurazione del precedente (i.e.: nome computer, coordinate IP,controller dischi, partizioni (tipo di file system e dimensione almeno uguale a quella del precedente sistema), ecc.).
    • Senza rieseguire la DCPROMO effettuare il restore non-autoritativo a partire da un backup valido del System State dello stesso DC.

In ambiente Win2K3 la stessa procedura presenta qualche problema per la risoluzione dei quali è necessario installare il SP1. Esiste comunque la possibilità, nel caso il DC da ripristinare non sia il primo e unico all’interno di un dominio AD Win2K3, di sfruttare la nuova opzione /ADV dell’utility DCPROMO per eseguire la promozione a DC a partire da una restore (eseguita in modalità alternate location) del System State di un altro DC (Install From Media (IFM)).

Restore-autoritativo

Il restore autoritativo di un DC viene effettuato nel caso in cui è necessario “riesumare” degli oggetti erroneamente cancellati a partire da un backup del System State avendo la garanzia che essi vengano considerati “come se fossero stati appena ricreati” ed essere forzatamente replicati verso gli altri DC replication partner.

Il restore autoritativo può essere eseguito di un singolo oggetto, di un contenitore (e.g.: una OU con il relativo contenuto) o dell’intero database AD. In quest’ultimo caso occorre prestare attenzione ai potenziali problemi che si possono determinare relativamente alla gestione delle password dei computer e delle trust tra eventuali altri domini Win2K/2K3 o WinNT. Infatti di default queste password vengono automaticamente ri-negoziate con una certa cadenza (i.e.: per i computer account ogni 5 gg) ed effettuando un restore autoritativo di tutto il contesto di dominio si rischia di ripristinarle ad un valore non più congruente con lo stato attuale. Pertanto, in caso di restore autoritativo dell’intero database AD o di porzioni del naming context (i.e.: partizione) relativo al dominio che include oggetti interessati alle suddette password è necessario procedere con il reset dei computer account e/o la ricreazione delle trust manualmente o attraverso l’utility NETDOM contenuta nei Support Tools di Win2K3.

Per effettuare un restore autoritativo è necessario seguire la seguente procedura:

  • Effettuare un restore non-autoritativo senza riavviare il DC.
  • Aprire una sessione Command Prompt ed eseguire il comando NTDSUTIL.
  • Al prompt di NTDSUTIL, inserire i seguenti comandi:
    • Inserire il comando Authoritative restore (o semplicemente le iniziali a r).
      • Dal prompt “Authoritative restore” inserire i seguenti comandi per marcare autoritativo l’oggetto AD da “riesumare”:restore subtree <DN-Oggetto>alla comparsa della finestra di dialogo mostrata in figura 8, confermare cliccando sul bottone Yes.

image 7

Figure 8: Restore autoritativo del System State
– Esempio 1: restore di un oggetto utente

authoritative restore: restore subtree “CN=Leone Randazzo,OU=sistemisti, DC=learning-solutions,DC=local”

Opening DIT database… Done.

The current time is 02-22-05 12:35.10.

Most recent database update occured at 02-22-05 11:08.46.

Increasing attribute version numbers by 100000.

Counting records that need updating…

Records found: 0000000001

Done.

Found 1 records to update.

Updating records…

Records remaining: 0000000000

Done.

Successfully updated 1 records.

Authoritative Restore completed successfully.

– Esempio 2: restore di una OU (e del relativo contenuto)

authoritative restore: restore subtree “OU=servers,dc= DC=learning-solutions,DC=local”

Opening DIT database… Done.

The current time is 02-22-05 12:43.59.

Most recent database update occured at 02-22-05 12:35.10.

Increasing attribute version numbers by 100000.

Counting records that need updating…

Records found: 0000000003

Done.

Found 3 records to update.

Updating records…

Records remaining: 0000000000

Done.

Successfully updated 3 records.

Authoritative Restore completed successfully.

– Esempio 3: restore dell’intero database AD (da eseguire solo in casi eccezionali e con molta cautela):

restore database

  • Ripetere l’operazione di restore subtree per tutti gli oggetti da ripristinare.
  • Inserire il comando quit per uscire dal contesto Authoritative restore.
  • Inserire il comando quit per uscire da NTDSUTIL.
  • Riavviare in modalità normale il DC.

L’effetto del comando di restore autoritativo (come si può notare dagli esempi precedenti) è di rimarcare l’oggetto indicato con un timestamp aggiornato ed avanzare il contatore USN (Update Sequence Number) ad un valore che risulti sicuramente superiore a quello di qualsiasi altro oggetto all’interno dell’infrastruttura AD (di solito viene sommato 100.000 moltiplicato per il numero dei giorni intercorsi dal backup del System State).

Al riavvio del DC in modalità normale e successivamente alla replica con eventuali altri DC partner di replica, si verifica un “authoritative merge”, nel senso che tutti gli oggetti ripristinati autoritativamente (i.e.: quelli precedentemente cancellati o modificati) verranno replicati agli altri DC, mentre eventuali nuovi oggetti creati o modificati successivamente al backup del System State ripristinato verranno replicati dagli altri DC al DC “ripristinato autoritativamente”.

E’ da notare che esistono alcune parti di AD che non possono essere ripristinate autoritativamente, tra questi:

  • Gli oggetti della partizione Schema AD non possono essere ripristinati autoritativamente.
  • Gli oggetti della partizione Configuration devono essere trattati con molta cautela in quanto il loro impattto è esteso a tutta la foresta. In ogni caso per alcuni tipi di oggetti (e.g.: connection object per la replica tra DC) non ha senso ripristinarli in quanto essi vengono ricreati automaticamente dal Knowledge Consistency Checker (KCC) come indicato nel capitolo 10 “La struttura fisica AD”.
  • Oggetti che interessano il servizio FRS solitamente contenuti in CN=File Replication Service,CN=System,DC=<DN-Dominio> e CN=NTFRS Subscriptions,CN=<Domain Controller> non devono essere ripristinati per non causare effetti collaterali con la replica gestita dal servizio FRS.
  • Gli oggetti che interessano il ruolo FSMO RID Master (e.g.: l’oggetto “RID Set” del DC RID Master e l’oggetto “RID Manager$” del contenitore System) non devono essere ripristinati per non causare effetti collaterali con la gestione dei SID degli oggetti Security Principal.
  • In ogni caso è consigliato ripristinare solo parti limitati di un qualsiasi Naming Context o Partizione.
Share

Microsoft

Ubuntu Security Tools

17 maggio 2009

Bootable Linux distributions are quite popular right now. Just by booting from a DVD or other media, they allow you to possess a dedicated security auditing or forensics workstation.

Usually though, I don’t want to reboot just to use a different set of applications. I want all of my applications available to me all of the time.

I normally use Synaptic Package Manager to add each application to my Ubuntu system manually. This is time consuming, but eventually allows me to create a system with a rich set of security tools.

A better approach is to call apt-get directly. This is much quicker than using the Synaptic GUI. Then, all available Ubuntu security tools can be installed with one shell script.

secbox is that shell script. With a single command, secbox installs every Ubuntu security tool supported by apt-get. secbox isn’t sexy, but it is very convenient for me — and for pretty much anyone who uses their Ubuntu machine for security work.

Download secbox Now

Share

Tips Linux e Microsoft