Администрирование леса

Для администрирования леса с помощью утилиты samba-tool используется группа подкоманд forest.

Вызовы подкоманд, создающие локальные базы данных на контроллере домена, должны выполняться с привилегиями локального суперпользователя (root/sudo). Вызовы подкоманд, вносящие изменения в существующие базы данных на контроллере домена, должны выполняться с использованием опции -H | --URL= и указанием учетных данных пользователя с достаточными полномочиями на уровне леса (см. описание требуемых полномочий в описаниях подкоманд).

Получение информации о настройках леса

Для получения информации о настройках леса используется следующий формат вызова:

samba-tool forest directory_service show [options]

Подкоманда выводит значение атрибута dSHeuristics объекта с DN CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<ForestRootDN> в виде строки Unicode, каждый символ в которой соответствует определенному параметру, определяющему поведение контроллеров домена в лесу.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример получения настроек леса с указанием удаленного LDAP-сервера:

samba-tool forest directory_service show -H ldap://samba.samdom.example.com -U Administrator
Settings for CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=samdom,DC=example,DC=com
dheuristics: 0000002

Изменение настроек леса

Для изменения настроек леса используется следующий формат вызова:

samba-tool forest directory_service dsheuristics <value> [options]

Подкоманда изменяет значение атрибута dSHeuristics объекта с DN CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<ForestRootDN>. Новое значение (value) задается в виде строки Unicode, каждый символ в которой соответствует определенному параметру, определяющему поведение контроллеров домена в лесу.

Формат строки:

|<1>|<2>|<3>|<4>|<5>|<6>|<7>|<8>|<9>|<10>|<11>|<12>|<13>|<14>|<15>|<16>|<17>|<18>|<19>|<20>|<21>|<22>|<23>|<24>|<25>|

Если символ не задан, используется значение 0.

Для изменения значения определенного параметра не требуется задавать все символы. Например, если требуется изменить символ 7 (параметр fLDAPBlockAnonOps, контролирующий возможность анонимного доступа к каталогу AD: 0 (true)— анонимный доступ запрещен, 2 (false)— анонимный доступ разрешен), то при вызове подкоманды допустимо передать в качестве значения строку 0000002.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример изменения параметра fLDAPBlockAnonOps для контроллеров домена в лесу с указанием удаленного LDAP-сервера:

samba-tool forest directory_service dsheuristics 0000002 -H ldap://samba.samdom.example.com -U Administrator
set dsheuristics: 0000002

Получение информации о текущем функциональном уровне леса

Для получения информации о текущем функциональном уровне (режиме работы) леса используется следующий формат вызова:

samba-tool forest level show [options]

Подкоманда возвращает информацию о текущем функциональном уровне леса.

См. подробнее о функциональном уровне в разделе «Управление функциональным уровнем».

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример вывода информации о текущем функциональном уровне леса:

samba-tool forest level show
Forest functional level: 2016

Изменение функционального уровня леса

Для изменения функционального уровня (режима работы) леса используется следующий формат вызова:

samba-tool forest level set [options]

Подкоманда изменяет функциональный уровень леса в соответствии с переданным значением обязательного параметра --level.

В процессе работы подкоманда проверяет выполнение условия: функциональный уровень леса =< функциональный уровень любого домена в нем.

Если условие выполняется, выдается запрос подтверждения операции. В случае подтверждения запрошенное изменение применяется. Если условие не выполняется, подкоманда возвращает ошибку с соответствующим диагностическим сообщением.

Подкоманда должна вызываться от имени пользователя, включенного в группу Enterprise Admins.

Чтобы результаты операции фиксировались в логах, необходимо использовать опцию -H URL|--URL=URL.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --level=FOREST_LEVEL (обязательный) — функциональный уровень леса; возможные значения: 2008_R2 | 2012 | 2012_R2 | 2016;

  • --omit-confirmation — не запрашивать подтверждение выполнения операции.

Примеры

Пример изменения функционального уровня леса:

  1. На контроллере домена Эллес вызовите подкоманду:

    samba-tool forest level set --level=2012_R2
...
Change forest functional level to 2012_R2? [y/N]

  2. В ответ на запрос введите y, чтобы подтвердить выполнение операции. В случае успешного завершения подкоманда возвращает сообщение:

    Forest function level changed!