Администрирование леса
Для администрирования леса с помощью утилиты samba-tool используется группа подкоманд forest.
Вызовы подкоманд, создающие локальные базы данных на контроллере домена, должны выполняться с привилегиями локального суперпользователя (root/sudo). Вызовы подкоманд, вносящие изменения в существующие базы данных на контроллере домена, должны выполняться с использованием опции -H | --URL= и указанием учетных данных пользователя с достаточными полномочиями на уровне леса (см. описание требуемых полномочий в описаниях подкоманд).
|
Получение информации о настройках леса
Для получения информации о настройках леса используется следующий формат вызова:
samba-tool forest directory_service show [options]
Подкоманда выводит значение атрибута dSHeuristics объекта с DN CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<ForestRootDN> в виде строки Unicode, каждый символ в которой соответствует определенному параметру, определяющему поведение контроллеров домена в лесу.
Изменение настроек леса
Для изменения настроек леса используется следующий формат вызова:
samba-tool forest directory_service dsheuristics <value> [options]
Подкоманда изменяет значение атрибута dSHeuristics объекта с DN CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<ForestRootDN>. Новое значение (value) задается в виде строки Unicode, каждый символ в которой соответствует определенному параметру, определяющему поведение контроллеров домена в лесу.
Формат строки:
|<1>|<2>|<3>|<4>|<5>|<6>|<7>|<8>|<9>|<10>|<11>|<12>|<13>|<14>|<15>|<16>|<17>|<18>|<19>|<20>|<21>|<22>|<23>|<24>|<25>|
Если символ не задан, используется значение 0.
Для изменения значения определенного параметра не требуется задавать все символы. Например, если требуется изменить символ 7 (параметр fLDAPBlockAnonOps, контролирующий возможность анонимного доступа к каталогу AD: 0 (true)— анонимный доступ запрещен, 2 (false)— анонимный доступ разрешен), то при вызове подкоманды допустимо передать в качестве значения строку 0000002.
Получение информации о текущем функциональном уровне леса
Для получения информации о текущем функциональном уровне (режиме работы) леса используется следующий формат вызова:
samba-tool forest level show [options]Подкоманда возвращает информацию о текущем функциональном уровне леса.
| См. подробнее о функциональном уровне в разделе «Управление функциональным уровнем». |
Изменение функционального уровня леса
Для изменения функционального уровня (режима работы) леса используется следующий формат вызова:
samba-tool forest level set [options]Подкоманда изменяет функциональный уровень леса в соответствии с переданным значением обязательного параметра --level.
В процессе работы подкоманда проверяет выполнение условия: функциональный уровень леса =< функциональный уровень любого домена в нем.
Если условие выполняется, выдается запрос подтверждения операции. В случае подтверждения запрошенное изменение применяется. Если условие не выполняется, подкоманда возвращает ошибку с соответствующим диагностическим сообщением.
Подкоманда должна вызываться от имени пользователя, включенного в группу Enterprise Admins.
Чтобы результаты операции фиксировались в логах, необходимо использовать опцию -H URL|--URL=URL.
|
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--level=FOREST_LEVEL(обязательный) — функциональный уровень леса; возможные значения:2008_R2 | 2012 | 2012_R2 | 2016; -
--omit-confirmation— не запрашивать подтверждение выполнения операции.
Примеры
Пример изменения функционального уровня леса:
-
На контроллере домена Эллес вызовите подкоманду:
samba-tool forest level set --level=2012_R2 ... Change forest functional level to 2012_R2? [y/N]
-
В ответ на запрос введите
y, чтобы подтвердить выполнение операции. В случае успешного завершения подкоманда возвращает сообщение:Forest function level changed!
Получение и изменение настроек времени жизни динамических объектов в лесу
Параметры DynamicObjectDefaultTTL и DynamicObjectMinTTL задают глобальные ограничения времени жизни динамических объектов и действуют на уровне всего леса доменов. Оба параметра хранятся в атрибуте msDS-Other-Settings объекта CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<ForestRootDN> и действуют для всего леса доменов.
DynamicObjectDefaultTTL определяет время жизни по умолчанию: оно применяется при создании объекта, если значение TTL (Time-To-Live) не указано явно.
DynamicObjectMinTTL задает минимально допустимое значение TTL. Если при создании объекта указано значение меньше установленного минимального, Эллес автоматически использует значение этого параметра.
Просмотр и изменение значений обоих параметров выполняются с помощью подкоманд samba-tool forest dynamicobject.
| См. подробнее об особенностях реализации функциональности динамических объектов в Эллес в разделе «Настройка динамических объектов». |
Получение и изменение времени жизни динамических объектов в лесу по умолчанию (DynamicObjectDefaultTTL)
Формат вызова:
samba-tool forest dynamicobject defaultttl [new_default_ttl] [options]
В качестве аргумента ожидается новое значение для параметра DynamicObjectDefaultTTL в секундах. Допустимый диапазон значений — от 1 до 31557600 (1 год).
Если новое значение не передается, подкоманда возвращает текущее.
По умолчанию значение DynamicObjectDefaultTTL составляет 86400 секунды.
Если при вызове передается дополнительный параметр -f|--force, операция выполняется без подтверждения.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
-f|--force— не запрашивать подтверждение операции.
Примеры
Пример получения текущего значения параметра DynamicObjectDefaultTTL в лесу:
samba-tool forest dynamicobject defaultttl Forest DynamicObjectDefaultTTL: 86400
Пример изменения значения параметра DynamicObjectDefaultTTL в лесу с подтверждением:
samba-tool forest dynamicobject defaultttl 172800 Do you really want to set DynamicObjectDefaultTTL to 172800 [y/N] y
Пример изменения значения параметра DynamicObjectDefaultTTL в лесу без подтверждения:
samba-tool forest dynamicobject defaultttl 172800 --force
Получение и изменение минимального времени жизни динамических объектов в лесу (DynamicObjectMinTTL)
Формат вызова:
samba-tool forest dynamicobject minttl [new_min_ttl] [options]
В качестве аргумента ожидается новое значение для параметра DynamicObjectMinTTL в секундах. Допустимый диапазон значений — от 1 до 31557600 (1 год).
Если новое значение не передается, подкоманда возвращает текущее.
По умолчанию значение DynamicObjectMinTTL составляет 900 секунд.
Если при вызове передается дополнительный параметр -f|--force, операция выполняется без подтверждения.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
-f|--force— не запрашивать подтверждение операции.
Примеры
Пример получения текущего значения параметра DynamicObjectMinTTL в лесу:
samba-tool forest dynamicobject minttl Forest DynamicObjectMinTTL: 900
Пример изменения значения параметра DynamicObjectMinTTL в лесу с подтверждением:
samba-tool forest dynamicobject minttl 1800 Do you really want to set DynamicObjectMinTTL to 1800 [y/N] y
Пример изменения значения параметра DynamicObjectMinTTL в лесу без подтверждения:
samba-tool forest dynamicobject minttl 1800 --force