Администрирование пользователей и групп

Группы и пользователей можно администрировать в ADAM (Active Directory Application Mode) с помощью оснастки «Редактор ADAM ADSI» или приложений, поддерживающих службу каталога. Сведения о том, как выполнять задачи, связанные с пользователями и группами в ADAM, см. в разделе Управление пользователями и группами.

Пользователи ADAM

Чтобы создавать пользователей в ADAM, необходимо сначала импортировать дополнительные классы пользователей, предоставляемые с ADAM, в схему ADAM. Эти классы пользователей предоставляются в импортируемых LDF-файлах (ms-User.ldf, ms-InetOrgPerson.ldf, ms-UserProxy.ldf), расположенных в каталоге %windir%\adam на компьютере, где установлена служба ADAM. В таблице ниже приводится описание содержимого каждого из дополнительных LDF-файлов.

LDF-файл Классы пользователей Импортировать данный файл, если ...

ms-user.ldf

  • Person

  • Organizational-Person

  • User

Требуется создавать объекты «пользователь» в каталоге ADAM, однако не требуется создавать пользователей класса inetOrgPerson (определенного в RFC 2798).

ms-inetorgperson.ldf

  • Person

  • Organizational-Person

  • User

  • inetOrgPerson

Требуется создавать объекты «пользователь» в каталоге ADAM, однако не требуется создавать пользователей класса inetOrgPerson (определенного в RFC 2798).

ms-userproxy.ldf

  • User-Proxy

Требуется создавать в ADAM объекты-посредники для использования в перенаправлении привязки. Дополнительные сведения об объектах-посредниках и о перенаправлении привязки см. в разделе Общие сведения о перенаправлении привязки ADAM.

Сведения об определениях схемы для каждого класса пользовательских объектов см. в документе, описывающем схему Active Directory на веб-узле Microsoft MSDN.

Дополнительные сведения об импорте пользовательских классов см. в разделе Импорт пользовательских классов, поставляемых с ADAM. Сведения о создании пользователей ADAM см. в разделе Добавление пользователя ADAM в каталог.

Имеется также возможность отключать пользователей ADAM. Дополнительные сведения об отключении пользователей ADAM см. в разделе Отключение или включение пользователя ADAM.

Создание и изменение паролей

Пароли для участников безопасности ADAM можно создавать и изменять по подключениям SSL (Secure Sockets Layer) с помощью программы Ldp.exe или же по зашифрованным не-SSL подключениям (с помощью оснастки «Редактор ADAM ADSI» или программы Ldp.exe). Для установки подключения SSL к ADAM, необходимо установить сертификаты на компьютерах, где выполняется ADAM, а также на всех клиентах. Дополнительные сведения см. в разделе Администрирование экземпляра ADAM. Для установки подключения SSL к экземпляру ADAM необходимо использовать программу Ldp.exe; оснастка «Редактор ADAM ADSI» не поддерживает подключения SSL.

Сведения о задании и изменении паролей см. в разделе Задание или изменение пароля пользователя ADAM.

Примечание

На компьютерах, работающих под управлением Windows XP Professional, где требуется установить SSL-подключения к экземпляру ADAM, необходимо установить исправление, описанное в статье 817583 базы знаний Майкрософт.

По умолчанию экземпляр ADAM, выполняющийся в среде Windows Server 2003, автоматически вводит в действие любые локальные или доменные политики паролей. Если создается новый пользователь ADAM и ему назначается пароль, не отвечающий требованиям действующей политики паролей, этот пользователь будет отключен.

Параметры политики паролей и блокировки учетных записей

При выполнении ADAM на компьютере, работающем под управлением Windows Server 2003, эта служба поддерживает и вводит в действие параметры политики паролей и параметры блокировки учетных записей, предоставляемые в Windows Server 2003, включая следующие:

  • Minimum age

  • Maximum age

  • Complexity

  • History

  • Too many failed logon attempts

  • Disabling and enabling of accounts

Если сервер, на котором выполняется ADAM, принадлежит к рабочей группе, реализуются локальные параметры политики паролей сервера и блокировки учетных записей. Если сервер, на котором выполняется ADAM, принадлежит к домену, реализуются параметры политики паролей и блокировки учетных записей из Active Directory. Ввод в действие параметров политики паролей в ADAM может быть отключен. Параметры политики паролей не применяются на экземплярах ADAM, выполняемых на компьютерах, работающих под управлением Windows XP Professional.

Дополнительные сведения о параметрах политики паролей и блокировки учетных записей в Windows Server 2003 см. в центре справки и поддержки в Windows Server 2003.

Группы ADAM

Помимо четырех основанных на ролях групп, предоставляемых по умолчанию в каждом разделе каталога в ADAM, можно создавать и собственные группы. В создаваемые группы ADAM можно добавлять как пользователей ADAM, так и пользователей Windows.

Дополнительные сведения см. в разделах Добавление группы ADAM в каталог и Добавление членов в группу ADAM или удаление их из нее.

Примечание

В службе ADAM администратор ADAM или пользователь, обладающий достаточными правами доступа в группе администраторов, может удалять учетные записи членов из группы администраторов ADAM. При этом возможна ситуация, когда ADAM может остаться без действующих администраторов. Чтобы выполнить восстановление при возникновении такой ситуации, назначенный администратор ADAM, являясь владельцем группы администраторов, может повторно заполнить группу администраторов ADAM соответствующими учетными записями.

Упорядочение пользователей и групп ADAM с помощью подразделений

Чтобы упорядочить пользователей и группы ADAM, их можно разбить на подразделения (OU). В Active Directory и в ADAM, как и в других каталогах на основе протокола LDAP, подразделения являются наиболее широко используемым способом организации пользователей и групп. Сведения о создании подразделений в ADAM см. в разделе Добавление подразделения в каталог.

Примечание

По умолчанию подразделение можно добавлять только в классы объектов OU (OU=), страна/регион (C=), организация (O=) и DNS-домен (DC=). Например, подразделение (OU) можно добавить к классу O=Microsoft,C=US. Недопустимо добавление подразделения к классу CN=test,O=Microsoft,C=US. Тем не менее, можно обновить определение схемы для класса объектов OU, чтобы разрешить другие старшие классы.