Contactos
el principal

Administración de Active Directory usando PowerShell. El término "relación de confianza". Objetos de control Active Directory

LECCIÓN 7. Administre Active Directory.

El proceso de administración de Active Directory es administrar:

  • dominios de Active Directory;
  • estructura de directorio de dominio;
  • objetos de dominio (usuarios, contactos, computadoras, grupos, impresoras, etc.);
  • sitios y redes Active Directory;
  • replicación de datos.

Todas estas tareas se resuelven utilizando tres consolas de control instaladas en el proceso. instalación activa. Directorio en el controlador de dominio:

  • Active Directory - Dominios y confianza
  • Directorio activo de usuarios y computadoras
  • Active Directory - Sitios y Servicios

Estas consolas se pueden instalar en otros dominios de las computadoras como parte del paquete de utilidad administrativa.

Descripción de los objetos de Active Directory.

Todas las consolas de administración de Active Directory usan un conjunto único de iconos para mostrar los objetos del directorio. A continuación se presentan todos los objetos básicos de Active Directory y los iconos correspondientes. Esta información lo ayudará más fácil de navegar en el directorio de Active Directory.

Directorio Activo.

Representa el directorio de Active Directory en su conjunto. En las herramientas de control, prácticamente no se encuentra, con la excepción de la búsqueda y selección de objetos.

Representa el dominio de Windows. Le permite administrar los parámetros de dominio globales.

Contenedor, carpeta

Representa un objeto de contenedor simple. Dichos objetos solo pueden ser creados por el sistema operativo y generalmente se generan cuando se instala Active Directory.

División organizacional

Representa OP. Este objeto de contenedor se usa para construir una jerarquía de contenedores que contienen otros objetos.

Usuario

Representa una cuenta de usuario. El objeto contiene un gran número de Atributos que describen al usuario

Representa a un usuario, no un miembro del dominio. Los contactos se utilizan para almacenar información sobre usuarios externos en el directorio de información, no son credenciales y no permiten que los usuarios se registren en el dominio

Representa un grupo de usuarios y generalmente se usa para simplificar la gestión de permisos y privilegios

Un ordenador

Representa una sola computadora en red local. Para computadoras bajo control de Windows NT, 2000 y versiones posteriores de Windows es una cuenta de computadora. El objeto contiene información básica sobre la computadora y le permite administrarlo.

Controlador de dominio

Representa un controlador de dominio de Windows por separado. En Active Directory Snap-In, los usuarios y las computadoras, los controladores de dominio se muestran como los mismos iconos que las computadoras regulares. El icono especificado se usa para mostrar los controladores de dominio en los sitios y servicios de Active Directory. Le permite administrar los parámetros del controlador de dominio.

Representa una impresora de red. El objeto es una referencia a la impresora proporcionada en acceso general. Los objetos de este tipo se pueden agregar al directorio de forma manual y automática. La adición manual es posible solo para impresoras conectadas a las computadoras que se ejecutan más versiones tempranasque Windows 2000

Recurso compartido

Representa una carpeta común. El objeto es un enlace al recurso de red compartido y no contiene ningún dato.

Parámetros de licencia

Representa la configuración global de licencias de sitios. Permite que centralmente administre las licencias para productos de software y su replicación dentro del sitio.

Política de dominio

Representa una política de dominio. Le permite configurar las políticas de nivel de dominio

Política de controlador de dominio

Representa el objeto de política del controlador de dominio. Le permite configurar la configuración de la póliza para todos los controladores de dominio

Política de grupo

Representa un objeto de política de grupo arbitraria. Le permite administrar políticas para objetos de ese contenedor a los que

Representa un sitio de Active Directory separado. Le permite controlar los parámetros de TI. Contiene enlaces a objetos de controladores de dominio, enlaces de sitios, parámetros del sitio

Compuesto

Representa una conexión entre los controladores de dominio dentro del sitio. Le permite controlar los parámetros de topología y replicación entre los controladores de dominio dentro del sitio

Conexión de sitio

Representa un enlace separado entre los sitios. Le permite controlar la topología y los parámetros de la replicación de la línea de cruz.

Parámetros del sitio

Representa el objeto de configuración del sitio o el controlador de dominio en el sitio. Le permite administrar los parámetros de la replicación de todo el sitio o los parámetros para la interacción del controlador de dominio con el sitio

Representa una subred separada asociada con un sitio específico. Le permite especificar los límites de la red IP

Icono

Un objeto

Descripción

Active Directory (AD) son los programas de servicio desarrollados para el sistema operativo. Microsoft Server. Originalmente se creó como un algoritmo de acceso ligero a los directorios de los usuarios. De la versión Servidor de windows 2008 Hubo integración con los servicios de autorización.

Permite seguir la política de grupo utilizando el mismo tipo de parámetros y en todas las PC controladas utilizando el Administrador de configuración del Centro de Sistema.

Si las palabras simples para principiantes son la función de un servidor que le permite administrar todos los accesos y permisos en la red local de un solo lugar.

Funciones y propósito

Microsoft Active Directory - (Llamado directorio) Paquete de fondos para llevar a cabo manipulaciones con los usuarios y datos de red. La meta principal La creación es facilitar el trabajo de los administradores del sistema en extensas redes.

Los catálogos contienen información diferente relacionada con los usuarios, grupos, dispositivos de red, recursos de archivos, en una palabra, objetos. Por ejemplo, los atributos de usuario que se almacenan en el directorio deben ser los siguientes: Dirección, inicio de sesión, contraseña, número de teléfono móvil, etc. El directorio se utiliza como puntos de autenticacióncon el que puedes averiguar información necesaria Todo sobre

Conceptos básicos que ocurren durante el trabajo.

Hay una serie de conceptos especializados que se utilizan cuando se trabaja con AD:

  1. El servidor es una computadora que contiene todos los datos.
  2. El controlador es un servidor con la función de AD, que procesa las solicitudes de personas que utilizan un dominio.
  3. Dominio AD es un conjunto de dispositivos United en un nombre único que utiliza simultáneamente la base de datos de directorios comunes.
  4. El almacén de datos es parte del directorio responsable de almacenar y extraer datos de cualquier controlador de dominio.

Cómo trabajar Active Directory

Los principios básicos del trabajo son:

  • AutorizaciónCon lo que parece la oportunidad de usar la PC en la red simplemente ingresando contraseña personal. Al mismo tiempo, se pospone toda la información de la cuenta.
  • Seguridad. Active Directory contiene funciones de reconocimiento de usuario. Para cualquier objeto de red, puede de forma remota, desde un dispositivo, para poner los derechos correctos que dependerán de categorías y usuarios específicos.
  • Administración de red De un punto. Mientras trabaja con el Director de Activos, Sisadmin no necesita volver a configurar la PC completa si necesita cambiar los derechos de acceso, por ejemplo, a la impresora. Los cambios se realizan de forma remota y global.
  • Completo integración con DNS.. Con su ayuda, la confusión no se produce en AD, todos los dispositivos se indican de la misma manera que en la Web mundial.
  • Gran escala. El conjunto de servidores es capaz de monitorear un Active Directory.
  • Buscar Se realiza de acuerdo con varios parámetros, como el nombre de la computadora, el inicio de sesión.

Objetos y atributos

El objeto es un conjunto de atributos unidos bajo su propio nombre, que es un recurso de red.

Atributo: características del objeto en el directorio. Por ejemplo, tal incluye el nombre de usuario, su inicio de sesión. Pero los atributos de la cuenta de PC pueden ser el nombre de esta computadora y su descripción.

"Oficial": un objeto que tiene los atributos "Nombre completo", "Posición" y "TABN".

Recipiente y nombre LDAP

Contenedor - Tipo de objetos que pueden consisten en otros objetos. El dominio, por ejemplo, puede incluir objetos de cuenta.

Su cita principal - ordenando objetos Por tipo de signos. La mayoría de las veces, los contenedores se utilizan para agrupar objetos con los mismos atributos.

Casi todos los contenedores muestran un conjunto de objetos, y los recursos se muestran mediante un objeto de Active Directory único. Uno de los tipos principales de contenedores de anuncios es un módulo de organización, o OU (unidad Organize). Los objetos que se colocan en este contenedor pertenecen solo al dominio en el que se crean.

El protocolo de acceso a directorios ligero (Protocolo de acceso a directorio ligero, LDAP) es el algoritmo principal de conexión TCP / IP. Está diseñado para reducir el número de matices al acceder a los servicios de catálogo. Además, en las acciones instaladas de LDAP utilizadas para solicitar y editar los datos del directorio.

Árbol y sitio

El árbol de dominio es una estructura, un conjunto de dominios que tienen esquema general y la configuración que forma el espacio de nombres en general y se asocia con las relaciones de confianza.

El bosque de dominios es una totalidad de árboles asociados entre ellos.

El sitio es un conjunto de dispositivos en las subredes de IP que representan un modelo de red física cuya planificación se realiza independientemente de la representación lógica de su construcción. Active Directory tiene la capacidad de crear un número N número de sitios o unir los dominios N-NUME en un solo sitio.

Instalación y configuración de Active Directory

Ahora giramos directamente a la configuración de Active Directory en ejemplo de Windows Server 2008 (en otras versiones del procedimiento idéntico):

Presione el botón "OK". Vale la pena señalar que tales valores no son necesarios. Puede usar la dirección IP y DNS de su red.

  • A continuación, debe ir al menú "Inicio", seleccione "Administración" y "".
  • Ir a "rol", seleccione el campo " Agregar un papel”.
  • Seleccione el elemento "Servicios de dominio de directorio activo" dos veces "siguiente", y después de "instalar".
  • Espere la instalación.
  • Abra el menú "Inicio" - " Llevar a cabo". En el campo ingrese a dcpromo.exe.
  • Haga clic en Siguiente".
  • Seleccione un artículo " Crear nuevo dominio En el nuevo bosque"Y presiona" Siguiente "de nuevo.
  • En la siguiente ventana, ingrese el nombre, haga clic en "Siguiente".
  • Escoger modo de compatibilidad (Windows Server 2008).
  • En la siguiente ventana, deje todo por defecto.
  • Correr ventana de configuraciónDNS.. Dado que no se usó en el servidor antes, no se creó la delegación.
  • Seleccione un directorio para la instalación.
  • Después de este paso necesitas preguntar. contraseña de administración.

Para la confiabilidad, la contraseña debe cumplir con dichos requisitos:


Después del anuncio completa el proceso de configuración de los componentes, debe reiniciar el servidor.



La configuración es completa, equipada y la función está configurada en el sistema. Puede instalar anuncio solo en la familia Windows Server, las versiones regulares, como 7 o 10, solo se pueden instalar para instalar la consola de control.

Administración en Active Directory

De forma predeterminada, en Windows Server, la consola de usuarios y computadoras de Active Directory funciona con un dominio al que pertenece la computadora. Puede acceder a los objetos de las computadoras y los usuarios en este dominio a través del árbol de la consola o conectarse a otro controlador.

Los medios de la misma consola le permiten ver opciones extra Objetos y búsqueda de ellos, puede crear nuevos usuarios, grupos y cambiar de permiso.

Por cierto, hay 2 tipos de grupos En los directorios de activos, seguridad y distribución. Los grupos de seguridad son responsables de delimitar los derechos de acceso a los objetos, se pueden utilizar como grupos de distribución.

Los grupos de distribución no pueden distinguir entre los derechos, pero se utilizan principalmente para distribuir mensajes en la red.

¿Qué es el anuncio de la delegación?

La delegación en sí es transferencia de parte de permisos y control. Desde el objeto principal, otro lado responsable.

Se sabe que cada organización tiene varios administradores del sistema en su sede. Diferentes tareas Debe estar desnudo en diferentes hombros. Para aplicar cambios, es necesario tener derechos y permisos que se dividen en estándar y especial. Especial: aplicable a un objeto específico, y el estándar se establece en los permisos existentes que hacen que las funciones individuales estén disponibles o inaccesibles.

Instalación de relaciones de confianza.

En AD, hay dos tipos de relaciones de confianza: "unidireccional" y "bidireccional". En el primer caso, un dominio confía en otro, pero no lo contrario, respectivamente, el primero tiene acceso a los recursos del segundo, y el segundo no tiene acceso. En la segunda forma de confianza "mutua". También hay relaciones "salientes" y "entrantes". En el saliente, el primer dominio confía en el segundo, lo que permite a los usuarios usar los recursos de la primera.

Al instalar, se deben realizar procedimientos:

  • Cheque Enlaces de red entre los kotrollars.
  • Compruebe la configuración.
  • Melodía Resolución de nombres para dominios externos.
  • Crear comunicación del dominio de confianza.
  • Cree una conexión del controlador a la que se aborda la confianza.
  • Compruebe la relación de una vía creada.
  • Si un surge la bebabilidad En el establecimiento de relaciones bilaterales, para hacer la instalación.

Catálogo global

Este es un controlador de dominio que almacena copias de todos los objetos forestales. Da a los usuarios y programas la capacidad de buscar objetos en cualquier dominio del bosque actual con herramientas de detección de atributosIncluido en el directorio global.

El catálogo global (GC) incluye un conjunto limitado de atributos para cada objeto forestal en cada dominio. Datos que recibe de todas las particiones del catálogo de dominios en el bosque, se copian utilizando el proceso estándar de replicación de servicio de Active Directory.

El esquema determina si se copiará el atributo. Hay una oportunidad configuración características adicionales que se creará volver a introducir el directorio global utilizando el esquema de Active Directory. Para agregar un atributo a un directorio global, debe seleccionar el atributo de replicación y usar la opción "Copiar". Después de eso, la replicación de atributos se creará en el directorio global. Valor de parámetro de atributo isMemberFPartialAttriBUSET. Será la verdad.

Con el fin de localización Global Directory, necesita ingresar en el símbolo del sistema:

Dsquery Server -SGC.

Replicación de datos en Active Directory

La replicación es un procedimiento de copia, que se lleva a cabo si necesita almacenar la misma información tópica que exista en cualquier controlador.

Produce sin la participación del operador.. Hay tipos de contenido de réplica:

  • Las réplicas de datos se crean a partir de todos los dominios existentes.
  • Esquemas de datos de réplica. Dado que el esquema de datos es uno para todos los objetos forestales de Active Directory, sus réplicas se almacenan en todos los dominios.
  • Datos de configuración. Muestra la construcción de copias entre los controladores. Los detalles se distribuyen a todos los dominios forestales.

Los principales tipos de réplicas son la intracela y la interslval.

En el primer caso, después de los cambios, el sistema está esperando, luego notifica al socio sobre la creación de una réplica para completar los cambios. Incluso en ausencia de cambio, el proceso de replicación ocurre después de un cierto período de tiempo automáticamente. Después de aplicar cambios críticos a los catálogos, la replicación se produce de inmediato.

Procedimiento de replicación entre nodos. ocurre en los intervalos Carga de red mínima, evita la pérdida de información.

En la edición de noviembre de la computadora, le hemos conocido con oportunidades clave. Windows PowerShell - Nueva línea de comandos y idioma del escenario. microsoft.. Hoy consideraremos el uso de este entorno para administrar el Directorio Corporativo de Active Directory (AD).

Brevemente sobre PowerShell

Windows PowerShell es una nueva línea de comandos y un idioma de guión de Microsoft. PowerShell es un componente de Windows Server 2008 (solo necesita seleccionarlo en el Administrador de servidores) y está disponible para descargar en la página www.microsoft.com/powershell para Windows XP, Windows Server 2003 y Windows Vista.

Si no está familiarizado con Windows PowerShell, le recomendamos que lea por primera vez el artículo "Windows PowerShell. Brevemente sobre lo principal ". En ComportPress No. 11'2007. En esta publicación, nos limitaremos a una breve repetición de los conceptos básicos y continuaremos inmediatamente al tema principal del artículo.

Por lo tanto, los comandos de PowerShell se denominan cmdlets (cmdlet) y consisten en un verbo (por ejemplo, obtener, configurar, nuevo, eliminar, mover, conectarse) y un sustantivo en un solo número que describe un objeto de acción. Hay un guión entre ellos. Resulta algo como: Get-Process, Stop-Service, etc.

Los equipos, por regla general, están asociados con un transportador denotado por una característica vertical (|). Este signo significa que toda la colección de objetos del comando anterior se transmite a la siguiente.

Dicha orientación de objetos es muy conveniente porque hace que sea fácil operar objetos y vincular a los equipos juntos. En este artículo, informaremos cómo este enfoque facilita la administración del directorio corporativo según Active Directory.

Formas de trabajar con Active Directory.

Directorio Active Directory es la base de las redes corporativas en base de datos de Windows Servidor 2000, 2003 y 2008. Es allí donde todo está almacenado. cuentas Usuarios, información sobre grupos, computadoras de red, cajas de correo electrónico y muchas otras cosas.

Se debe gestionar toda esta riqueza, para la cual se pretende que el kit de herramientas correspondiente, que forma parte del servidor de Windows, pero es PowerShell lo que facilita la automatización de las acciones en masa dirigidas a una gran cantidad de objetos.

Hay tres formas principales de trabajar con Active Directory en Windows PowerShell:

  • uso de la interfaz de interfaces de servicio de Active Directory (ADSI), este método es el más difícil, pero funciona en cualquier instalación de PowerShell y no requiere módulos adicionales. También está más cerca del método de control que se utilizó en el idioma del escenario de VBSCRIPT;
  • uso del proveedor de Active Directory incluido en la extensión PowerShell, este método le permite conectar un directorio en el formulario de un disco en su computadora y navegar a través de él utilizando los comandos apropiados: DIR, CD, etc. Este método requiere instalar un módulo adicional de CODEPLEX;
  • uso de los CMDLETS de Active Directory, esta es la forma más conveniente de manipular los objetos del directorio, pero también requiere una instalación adicional de los módulos correspondientes.

Adsi

Las interfaces de servicio de Active Directory (ADSI) son familiares para todos los que intentaron escribir scripts en el idioma vbscript. En PowerShell, esta interfaz se implementa utilizando el llamado adaptador. Al especificar en corchetes, el nombre del adaptador (ADSI) y la ruta al objeto en el directorio de consultas LDAP (Protocolo de acceso al directorio ligero: el protocolo de trabajo con los directorios, que admite tanto AD), obtenemos acceso a un objeto de El directorio y puede seguir llamando métodos.

Por ejemplo, se conecte a uno de los contenedores de directorios y cree una nueva cuenta de usuario en él.

$ Objou \u003d "LDAP: // MYDC: 389 / OU \u003d CTO, DC \u003d Empleados, DC \u003d Testomain, DC \u003d Local"

Entonces, ahora tenemos una variable de $ Objou, contiene información sobre el contenedor (nombres de variables en PowerShell comienzan desde el icono del dólar).

Llamar al método Crear. Y cree un nuevo usuario en el contenedor:

$ Objuser \u003d $ Objou.Create ("Usuario", "CN \u003d Dmitry Sotnikov")

Ahora podemos establecer varios atributos:

$ objuser.put ("SamaccountName", "Dsotnikov")

Finalmente, especificamos el directorio que se deben aplicar estos cambios:

$ objuser.setinfo ()

Las ventajas de usar el adaptador ADSI son:

  • su presencia en cualquier PowerShell de entrega. Si ha instalado PowerShell y hay un directorio con el que necesita trabajar, usted tiene todo lo que necesita;
  • aplicar un enfoque cerca de VBScript. Si tiene una experiencia rica con el directorio en el idioma del escenario de VBSCRIPT o en Anexes.net, puede sentirse con confianza usando este enfoque.

Desafortunadamente, el método tiene fallas:

  • la dificultad es la forma más difícil de trabajar con el directorio. Escriba la forma en que el objeto en forma de una solicitud LDAP es no trivial. Para cualquier trabajo con atributos, debe especificar sus nombres internos y, por lo tanto, es necesario recordar que el atributo que denota la ciudad de la ciudad no se llama "Ciudad", sino "L", etc.;
  • aumenta: como se ve desde el ejemplo, el funcionamiento más simple de crear una cuenta ocupa al menos cuatro líneas, incluidas las operaciones de servicio para conectarse al contenedor y aplicar cambios. Por lo tanto, incluso las operaciones relativamente simples se vuelven similares a los escenarios complejos.

Proveedor de anuncios

PowerShell le permite representar varios sistemas en forma de discos adicionales de la computadora utilizando los llamados proveedores. Por ejemplo, la entrega de PowerShell incluye un proveedor de registro y podemos pasar al registro utilizando comandos de CD y CD familiares y favoritos (para los amantes de UNIX, también se admite el equipo LS).

El proveedor de Active Directory no está en PowerShell, pero puede instalarlo, yendo al sitio web de Proyecto de Extensiones PowerShell - Extensiones de la Comunidad de PowerShell: http://www.codeplex.com/powershellcx.

Este es un proyecto de código abierto, que agrega una gran cantidad de equipos al sistema PowerShell, y además, establece el proveedor de anuncios.

Uso del proveedor de Active Directory

Después de instalar extensiones, escribiendo GET-PSDRIVE, vemos que ex discos Disco añadido en el Active Directory actual.

Ahora podemos ir a este directorio escribiendo un CD y especificando el nombre de dominio, y en cualquier contenedor use el comando DIR para ver su contenido.

Además, puede llamar a otros comandos de administración de archivos familiares (por ejemplo, DEL).

Las ventajas indudables de usar el proveedor pueden atribuirse:

la naturalidad de la representación de la estructura del directorio es el directorio de anuncios por su naturaleza Herarchychny y es similar al sistema de archivos;

la conveniencia de encontrar objetos es aplicar CD y Dir Mucho más conveniente que hacer una consulta en LDAP.

Las desventajas son sorprendentes:

  • la complejidad de realizar cambios en los objetos: el proveedor ayuda a alcanzar fácilmente el objeto, pero para cambiar algo, hemos vuelve a usar todos los mismos directorios que en el método ADSI, y para esto necesitas operar en un bajo nivel de servicio. métodos y atributos ad;
  • la necesidad de una instalación adicional: el proveedor no está incluido en PowerShell, y es necesario descargar e instalar extensiones de PowerShell;
  • origen del tercer día: las extensiones de PowerShell no son un producto de Microsoft. Son creados por los entusiastas del proyecto. Eres libre de usarlos, pero para apoyo técnico Tendremos que contactar a Microsoft, pero al sitio del proyecto.

Cmdlets ad

Además del proveedor descrito anteriormente, hay un conjunto de cmdlets para trabajar con AD (a menudo llamados cmdlets AD o CMDlets de QAD), disponibles de http://www.quest.com/activerres_server/Ams.aspx.

Los cámaras consisten en verbos estándar de operaciones (Get-, Set-, Cambiar nombre, eliminar, nuevos, mover, conectar-) y sustantivos con prefijo QAD (-Qaduser, -QADGROUP, -QAdComputer, -QADOBJECT).

Por ejemplo, para crear un nuevo usuario de lectura, deberá ejecutar dicho comando:

Las ventajas de este enfoque son:

  • fácil: el uso de cmdlets oculta la complejidad del directorio, sus esquemas y atributos internos. Trabaja con los objetos de directorio a nivel de los nombres de objetos comprensibles (usuario, grupo, computadora), sus propiedades (nombre, contraseña, ciudad, departamento) y acción sobre ellos (obtenga, se establecen, eliminan, se mueven, nuevo);
  • brevedad y expresividad: como hemos visto, la mayoría de las acciones que usan cmdlets se pueden expresar en forma de operaciones simples y naturales de una sola línea.
  • la necesidad de instalación adicional: cmdlets, como el proveedor, no se incluyen en PowerShell, y debe descargar e instalar la biblioteca adecuada;
  • origen del tercer día: los cmdlets para trabajar con AD no son un producto de Microsoft. Son creados por el software Microsoft Partner - Quest. Usted es libre de aplicarlos, pero el soporte técnico tendrá que ponerse en contacto con Microsoft, pero en los foros de Active Directory en el sitio web de PowerGUI.org.

En nuestra opinión, estas desventajas con más de compensar la simplicidad y la naturalidad en uso, por lo que ejemplos prácticos Se le dará utilizando este enfoque particular.

Gestionar Active Directory.

Veamos cómo PowerShell le permite realizar operaciones básicas para trabajar con el directorio de anuncios:

  • recibir la información;
  • cambio de propiedades;
  • trabajando con grupos;
  • creando nuevos objetos;
  • cambiando la estructura del directorio.

Recibiendo la información

La obtención de información se realiza en PowerShell utilizando los cmdlets GETI GLAGOL.

Por ejemplo, para obtener una lista de todos los usuarios, puntuación:

Para grupos:

Para computadoras registra:

Si no necesita todos los registros, pero algunos específicos, puede elegirlos con los parámetros de comando.

Obtención de una lista de usuarios

Todos los grupos de los usuarios del contenedor:

GET-QADGROUP -Searchroot Scorpio.Local / Usuarios

Todos los usuarios del departamento de ventas de la oficina de Moscú, cuyos nombres comienzan en la letra A:

Get-Qaduser -City Moscow -Deepartment Sales -Name A *

Al mismo tiempo, puede decirle a PowerShell'y, en qué forma desea ver la información recibida.

Mesa con nombres, ciudades y departamentos de empleados:

Get-Qaduser | Nombre de la tabla de formato, ciudad, departamento

Lo mismo con la clasificación por ciudades:

Get-Qaduser | Ordenar ciudad | Tabla de formato DisplayName, Ciudad, Departamento

Valores de clasificación y selección de campos de salida

Para la vista de lista de la misma información, simplemente usamos el comando de lista de formato:

Get-Qaduser | Nombre de la lista de formatos, ciudad, departamento

Exportar información al archivo CSV (valores separados por comas - valores a través de coma):

Get-Qaduser | Seleccione Nombre, Ciudad, Departamento | Usuarios de CSV.csv

Crear un informe en formato HTML:

Get-Qaduser | Seleccione Nombre, Ciudad, Departamento | Convermo-html | Usuarios fuera de archivo.html

Por lo tanto, una línea de un simple comando PowerShell puede crear informes complejos en un formato conveniente para usted.

PowerShell le permite cambiar los atributos del conjunto.
Entradas de un comando

Cambiar propiedades

Después de que hemos dominado información del directorio, es hora de cambiar algo en él.

Las propiedades de los objetos se pueden manipular utilizando los comandos establecidos.

Por ejemplo, cambia mi teléfono:

Set-Qaduser 'Dmitry Sotnikov' -phone '111-111-111'

Pero, por supuesto, los cambios masivos son más interesantes. Para hacer esto, podemos usar el transportador PowerShell, es decir, para recibir una lista de objetos que necesita usando los comandos de Get-y enviarlos al comando SET para realizar cambios.

Por ejemplo, nuestra oficina permanente se mudó a una nueva habitación. Tome todos los usuarios Perm y asignos un nuevo número de teléfono:

Get-Qaduser -City Perm | Set-Qaduser -PhoneNumber '+ 7-342-1111111'

Para las manipulaciones más complejas, puede usar el cmdlet foreach-objeto. Por ejemplo, cada usuario asignará una descripción que consiste en su departamento y la ciudad:

Get-Qaduser | Foreach-objeto (Set-Qaduser $ _ -description (S_.City + "" + $ _. Departamento))

La variable de $ _ en este ejemplo indica el objeto actual de la colección.

PowerShell proporciona oportunidades para un trabajo conveniente.
Con grupos de usuarios

Trabajando con grupos

Trabajar con grupos y membresía en ellos es otra operación masiva que a menudo desea automatizar. PowerShell proporciona tal oportunidad.

Obtención de miembros del grupo se realiza utilizando el cmdlet Get-QadgroupMember:

Get-QAdgrubmember Managers

Agregar un objeto al grupo también es fácil:

Add-QadgroupMember Scorpio \\ Managers -Member Dsotnikov

De manera similar, la eliminación del grupo se realiza utilizando los cmdlets de remove-qadgroupmember.

Pero, por supuesto, las manipulaciones masivas son más útiles. Agregue todos los gerentes al grupo apropiado:

Get-Qaduser -Title Manager | Add-QadgroupMember Scorpio \\ gerentes

Copie la membresía en el grupo:

Get-QadgroupMember Scorpio \\ Managers | ADD-QADGAURMOUPMEMEMB SCORPIO \\ Managers_Copy

Use el filtro para copiar no todos los miembros del grupo, pero solo aquellos que son responsables cierto criterio (Por ejemplo, ubicado en la región derecha):

Get-QadgroupMember Scorpio \\ Managers | Donde ($ _. City -EQ 'Ekaterinburg') | Add-qadgroupmitmember Scorpio \\ ekaterinburg_managers

Tenga en cuenta cómo filtramos los usuarios que usamos el Where y condición lógica (Operador lógico -EQ es un operador de igualdad en PowerShell, de inglés.es igual a

Creando objetos

Creación de objetos como ya hemos visto, realizado por equipos nuevos:

New-Qaduser -ParentContainer Scorpio.Local / Empleados -Name 'Dmitry Sotnikov'

New-Qadgroup -ParentContainer Scorpio.Local / Empleados -Name 'Managers' Type Security -Scope Global

Puede instalar cualquier otro atributo en el proceso de creación de un registro:

New-Qaduser -ParentContainer Scorpio.Local / Empleados -Name 'Dmitry Sotnikov' -SamaccountName Dsotnikov -City 'Saint-Petersburg' -Password ' [Correo electrónico protegido]

Para activar el registro, simplemente envíelo al transportador en habilitación-qaduser (no olvide configurar la contraseña, de lo contrario, la operación no pasará):

New-Qaduser -ParentContainer Scorpio.Local / Empleados -Name 'Dmitry Sotnikov' -Password ' [Correo electrónico protegido]'| Habilitar-Qaduser.

Import-csv new_users.csv | Foreach-objeto (New-Qaduser -ParentContainer Scorpio.Local / Usuarios -Name ($ _. Familia + ',' + $ _. Imya) -SamaccountName ($ _. Imia + $ _. Familia) -Departamento $ _. Departamento -Title $ _. Título)

Tenga en cuenta que estamos en la mosca en el nombre de la cuenta desde el apellido y el nombre de usuario.

Ejemplo de uso del archivo de importación
Registro

Cambiando la estructura del directorio.

Finalmente, por supuesto, puede administrar la estructura del directorio.

Por ejemplo, puedes crear nuevos contenedores:

New-QADOBJECT -TYTYPE ORGANIAUNIT-PARENTCONETER SCORPIO.LOCAL -NAME NUEVOU

y mover objetos en ellos uno por uno:

Mover-QADOBJECT MYSERVER -TE Scorpio.Local / Servidores

o al por mayor:

Get-Qaduser -Disabled | Mover-QADOBJECT -TE Scorpio.Local / Discapacitado

Importar archivo y crear nuevas cuentas.

Podemos seleccionar fácilmente las cuentas que satisfacen
Un cierto criterio, y moverlos a otro contenedor.

Y mucho más

MMA revisó solo una pequeña parte de los scripts para administrar un Active Directory. Para obtener lista llena Clamm para AD, ejecute el comando:

Get-command * -qad *

Para obtener un certificado para cualquier equipo:

Get-help get-qaduser

Para averiguar qué propiedades hay un objeto objetivo con el comando:

GET-USUARIOS | Miembro de Get-Miembro.

Las características de PowerShell son prácticamente infinitas, pero al mismo tiempo los encuentran lo suficiente.

Conclusión

KCAK Vimos a PowerShell es un excelente Active Directory. Parte de las propiedades (ADSI) está disponible en cualquier configuración de PowerShell. Algunos (proveedor y cmdlets) requieren módulos adicionales. Todos ellos brindan grandes oportunidades para automatizar la administración de su directorio corporativo y, por lo tanto, reducir los riesgos, deshacerse de la rutina y aumentar su eficiencia en el trabajo.

Lo principal es que estas tecnologías ya están disponibles y pueden ayudarlo en la administración de sistemas confiados hoy. En conclusión, citamos el administrador del sistema CJSC EVRAASFINANZ CJSC VASILY GUSEVA: "En nuestra empresa, así como en todas partes, Active Directory es uno de los servicios más utilizados y críticos. Con PowerShell y AD Cmdlets, muchas tareas se han vuelto más fáciles de realizar a través de la línea de comandos que a través de ADUC (Usuarios y computadoras de Active Directory. - Aprox. rojo.). NUNCA NUNCA Automatización Active Directory fue tan fácil y accesible ".

Alexander Emelyanov

Administrar cuentas en el dominio de Active Directory

Una de las tareas más importantes del administrador es administrar cuentas locales y de dominio: auditoría, cotización y delimitación de derechos de usuario según sus necesidades y políticas de la empresa. ¿Qué puede ofrecer Active Directory a este respecto?

En la continuación del ciclo de ciclo de Active Directory hoy, hablaremos sobre el enlace central en el proceso de administración: administrar los datos de contabilidad de los usuarios dentro del dominio. Nosotros lo consideraremos:

  • creando cuentas y gestión de ellos;
  • tipos de perfiles de usuarios y su uso;
  • grupos de seguridad en dominios de anuncios y sus combinaciones.

En última instancia, puede aplicar estos materiales para construir una infraestructura de trabajo o refinamiento de un existente que cumplirá con sus requisitos.

De cara al futuro, diré que el tema está estrechamente relacionado con la aplicación de políticas de grupo para fines administrativos. Pero debido a la inmensidad del material dedicado a ellos, se divulgará dentro del siguiente artículo.

Conocimiento con Active Directory - Usuarios y Computadoras

Después de haber instalado su primer controlador en el dominio (en realidad, organiza un dominio), aparecen cinco elementos nuevos en la sección de administración (ver Fig. 1).

Para administrar los objetos de anuncios, se utiliza Active Directory: usuarios y computadoras (usuarios y computadoras ADUC - AD, consulte Fig. 2), que también se pueden llamar a través del menú "Ejecutar" por medio de DSA.MSC.

Al usar ADUC, puede crear y eliminar usuarios, asignar los scripts de inicio de sesión para tener en cuenta, administrar la membresía en grupos y las políticas de grupo.

También existe la capacidad de administrar objetos publicitarios sin acceder directamente al servidor. Proporciona el paquete adminpak.msi, ubicado en el directorio% System_Drive% \\ Windows \\ System32. Al encenderlo en su automóvil y se abrió los derechos del administrador del dominio (si no hubiera), puede administrar el dominio.

Al abrir la ADUC, veremos la rama de nuestro dominio que contenía cinco contenedores y unidades organizativas.

  • Incorporado.. Esto contiene grupos locales incorporados que están en cualquier máquina de servidor, incluidos los controladores de dominio.
  • Usuarios y computadoras. Estos son contenedores en los que, por defecto, los grupos y cuentas de computadoras, al instalar el sistema a través de Windows NT. Pero para crear y almacenar nuevas cuentas, no es necesario usar solo estos contenedores, puede crear un usuario incluso en un contenedor de dominio. Cuando enciende la computadora en el dominio, aparece en el contenedor de computadoras.
  • Controladores de dominio.. Esta unidad organizativa (OU, unidad organizativa), que contiene los controladores de dominio predeterminados. Al crear un nuevo controlador, aparece aquí.
  • FORTRIALSECURITYPRINGIPALIBLES.. Este es el contenedor predeterminado para objetos de dominios de confianza externos.

Es importante recordar que las políticas de grupo están vinculadas exclusivamente al dominio, OU o sitio. Esto debe tenerse en cuenta al crear una jerarquía administrativa de su dominio.

Entramos en una computadora en el dominio.

El procedimiento se realiza directamente en la máquina local que queremos conectar.

Elija "Mi computadora -\u003e Propiedades -\u003e Nombre de la computadora," Presione el botón "Cambiar" y en el menú "Miembro", seleccione "Dominio". Ingresamos el nombre de dominio en el que queremos agregar nuestra computadora, y luego demuestremos que tenemos derechos para agregar estaciones de trabajo al dominio ingresando los datos de autenticación del administrador de dominio.

Crear un usuario de dominio

Para crear un usuario, debe seleccionar cualquier contenedor en el que se encuentre, haga clic en él con el botón derecho del mouse y seleccione "Crear -\u003e Usuario". Se abre el asistente de creación del usuario. Aquí puede especificar una variedad de sus atributos, comenzando con los marcos de nombre de usuario y registro temporal en el dominio y finalizan con la configuración de los servicios de terminal y acceso remoto. Al finalizar el asistente, recibirá un nuevo usuario de dominio.

Cabe señalar que en el proceso de creación de un usuario, el sistema puede "jurar" en la complejidad insuficiente de la contraseña o su brevedad. Puede mitigar los requisitos abriendo la Política de seguridad del dominio (configuración de seguridad de dominio predeterminada) y luego "Configuración de seguridad -\u003e Políticas de cuenta -\u003e Política de contraseña.

Permita que hemos creado el usuario Ivan Ivanov en el contenedor de usuarios (nombre de inicio de sesión del usuario: [Correo electrónico protegido]). Si en los sistemas NT 4, solo el papel de la decoración jugó, luego en AD es parte del nombre en formato LDAP, que se ve completamente así:

cn \u003d "Ivan Ivanov", CN \u003d "Usuarios", DC \u003d "HQ", DC \u003d "LOCAL"

AQUÍ CN - Nombre del contenedor, CC - Componente de dominio. Las descripciones de los objetos LDAP se utilizan para ejecutar scripts de WSH (hosts de script de Windows) o para programas utilizando el protocolo LDAP para comunicarse con Active Directory.

Para ingresar al dominio, Ivan Ivanov tendrá que usar el nombre en formato UPN (Nombre principal universal): [Correo electrónico protegido] También en los dominios AD quedará claro para escribir el nombre en el formato antiguo NT 4 (antes de Win2000), en nuestro caso HQ \\ Ivanov.

Al crear una cuenta de usuario, se le asigna automáticamente el identificador de seguridad (SID, el identificador de seguridad) es un número único por el cual el sistema y define a los usuarios. Es muy importante entender, ya que cuando elimina una cuenta, su SID se elimina y nunca se usa nuevamente. Y cada nueva cuenta tendrá su nuevo SID, por lo que no podrá obtener los derechos y los privilegios de los viejos.

Se puede mover una cuenta a otro contenedor o OU, deshabilitar o, por el contrario, habilitar, copiar o intercambiar contraseña. La copia se usa a menudo para crear múltiples usuarios con los mismos parámetros.

Entorno de trabajo del usuario.

Las credenciales almacenadas centralmente en el servidor permiten a los usuarios identificarse inequívocamente en el dominio y recibir derechos relevantes y acceso al entorno de trabajo. Todos los sistemas operativos de la familia Windows NT se utilizan para crear un entorno de trabajo en el perfil de usuario de la máquina cliente.

Perfil local

Considere los componentes principales del perfil de usuario:

  • Partición de registro correspondiente a un usuario específico ("colmena" o "colmena").De hecho, los datos de esta línea del Registro se almacenan en el archivo NTUSER.DAT. Se encuentra en el% SystemDrive% \\ Documents and Settings \\ User_name carpeta, que contiene un perfil de usuario. Por lo tanto, cuando el usuario específico registra en el sistema en la sección de registro HKEY_CURENT_USER, la "HIVE" de NTUSER.DAT se carga desde la carpeta que contiene su perfil. Y todos los cambios en la configuración del entorno de usuario para la sesión se mantendrán en esta "colmena". El archivo ntuser.dat.log es un registro de transacciones que existe para proteger el archivo ntuser.dat. Sin embargo, para el usuario predeterminado del usuario, difícilmente puede encontrarlo porque es una plantilla. Sobre esto siguiente. El administrador tiene la capacidad de editar la "HIVE" de un usuario específico directamente desde su entorno de trabajo. Para hacer esto, utilizando el Editor del Registro de Regedit32, debe cargar "HIVE" en la sección HKEY_USERS, y luego, después de realizar cambios para descargarlo.
  • Carpetas sistema de archivosque contiene archivos de configuración personalizada. Se encuentran en un catálogo especial% SystemDrive% \\ Documents and Settings \\ user_name, donde User_name es el nombre del usuario iniciado sesión. Se almacena aquí los elementos del escritorio, los elementos del inicio, los documentos, etc.

Si el usuario primero ingresa al sistema, sucede lo siguiente:

  1. El sistema comprueba si existe el perfil local de este usuario.
  2. Lo ha encontrado, el sistema se refiere al controlador de dominio en la búsqueda del perfil de dominio predeterminado, que debe ubicarse en la carpeta de usuario predeterminada en recurso común Netlogon; Si el sistema ha detectado este perfil, se copia localmente a la máquina en la carpeta% SystemDrive% \\ Documents and Configuración con el nombre de usuario, de lo contrario, se copia del sistema local% SystemDrive% \\ documentos y configuraciones \\ usuario predeterminado.
  3. La sesión de registro del usuario "Hive" se carga en la sección de registro HKEY_CURRENT_USER.
  4. Al salir del sistema, todos los cambios se guardan localmente.

En última instancia, el entorno de trabajo del usuario es la combinación de su perfil de trabajo y el perfil de todos los usuarios, que contiene comunes a todos los usuarios de esta máquina de configuración.

Ahora, algunas palabras sobre la creación de un perfil predeterminado para un dominio. Cree un perfil ficticio en su automóvil, configúrelo de acuerdo con sus necesidades con los requisitos de política corporativa. Luego, deje el sistema y vuelva como administrador de dominio. En el recurso Shared Netlogon Server, cree una carpeta de usuario predeterminada. A continuación, usando la pestaña Perfiles de usuario en el applet del sistema (consulte la Fig. 3) Copie su perfil a esta carpeta y proporcione los derechos para usar el grupo de usuarios de dominio o cualquier otro grupo adecuado seguridad. Todo, se crea el perfil predeterminado para su dominio.

Perfil transferido

Active Directory Como tecnología flexible y escalable le permite trabajar en un entorno de su empresa con perfiles movidos que veremos más.

Al mismo tiempo, será apropiado informar sobre la redirección de las carpetas como una de las características de la tecnología IntelliMirror para garantizar la tolerancia a la falla y el almacenamiento centralizado de los datos de los usuarios.

Los perfiles transferidos se almacenan en el servidor. El camino a ellos se especifica en la configuración del usuario del dominio (ver Fig. 4).

Si lo desea, puede especificar los perfiles móviles para varios usuarios al mismo tiempo, resaltar múltiples usuarios, y en las propiedades de la pestaña Perfil, especifique% username% en lugar de la carpeta con el nombre de usuario (ver Fig. 5).

El proceso del primer inicio de sesión en el sistema que tiene un perfil conmovido, similar a uno descrito anteriormente para los locales, para algunas excepciones.

Primero, dado que se especifica la ruta al perfil del objeto del usuario, el sistema verifica la presencia de una copia local en caché del perfil en automóvil, luego todo como se describe.

En segundo lugar, una vez finalizado, todos los cambios se copian al servidor, y si no se especifican las políticas de grupo para eliminar una copia local, almacenada en esta máquina. Si el usuario ya ha tenido una copia de perfil local, los servidores y las copias locales del perfil se comparan y las combinan.

Tecnología IntelliMirror B. sistemas de Windows Las versiones recientes permiten la redirección. carpetas definidas Los usuarios, como "Mis documentos", "Mis fotos", etc., en un recurso de red.

Por lo tanto, para el usuario, todos los cambios realizados son absolutamente transparentes. Al guardar documentos a la carpeta "Mis documentos", que se redirigirá deliberadamente al recurso de red, ni siquiera sospechará que todo se guarde en el servidor.

Puede configurar la redirección como manualmente para cada usuario y usar políticas de grupo.

En el primer caso, debe hacer clic en el icono "Mis documentos" en el escritorio o en el menú "Inicio" con el botón derecho del mouse y seleccione Propiedades. Además, todo es extremadamente simple.

En el segundo caso, debe abrir una política de grupo OU o un dominio para el cual queremos aplicar la redirección, y divulgar la jerarquía "Configuración de usuario -\u003e Configuración de Windows"(Ver Fig. 6). A continuación, la redirección está configurada o para todos los usuarios o para ciertos grupos de seguridad OU o un dominio al que se aplicará esta Política de grupo.

Usando la redirección de carpetas para trabajar con los perfiles de usuario móviles, puede lograr, por ejemplo, para reducir el tiempo de carga del perfil. Esto se proporciona en que el perfil en movimiento siempre se cargue desde el servidor sin usar una copia local.

La historia de la tecnología de redirección de carpetas estaría incompleta sin mencionar archivos independientes. Permiten a los usuarios trabajar con documentos incluso en ausencia de una conexión de red. La sincronización con las copias de servidor de los documentos ocurre cuando la computadora está junto a la red. Dicho esquema de organización será útil, por ejemplo, los usuarios de computadoras portátiles que trabajan tanto dentro de la red local como en el hogar.

Las desventajas de los perfiles en movimiento incluyen lo siguiente:

  • puede haber una situación en la que, por ejemplo, en el escritorio del usuario, habrá etiquetas de algunos programas, y en otra máquina, donde notará al propietario de un perfil en movimiento de dichos programas, respectivamente, parte de los accesos directos no trabaja;
  • muchos usuarios tienen el hábito de almacenar documentos, así como fotos e incluso videos en el escritorio, como resultado, al cargar un perfil en movimiento desde el servidor, cada vez se crea cada vez tráfico adicional en la red, y el perfil en sí está cargado durante mucho tiempo; Para resolver el problema, use los permisos de NTFS para limitar la preservación de "basura" en el escritorio;
  • cada vez que el usuario ingresa al sistema, se crea un perfil local (más precisamente, el perfil del servidor se copia localmente), y si las máquinas de trabajo cambian, entonces cada una de ellas sigue siendo dicha "basura"; Esto se puede evitar configurando múltiples políticas de grupo ("Configuración de computadora -\u003e Plantillas administrativas -\u003e Sistema -\u003e Perfiles de usuario", "Eliminar copias en caché de perfiles de roaming").

Introducción de un usuario existente en el dominio.

A menudo, cuando el servicio de directorio se implementa en la red ya existente sobre la base de los grupos de trabajo, el problema de introducir un usuario al dominio sin perder la configuración de su medio de trabajo. Esto se puede lograr utilizando perfiles en movimiento.

Cree en un recurso de red (por ejemplo, perfiles) en la carpeta del servidor con el nombre de usuario y configure un permiso de escritura para el grupo de todos. Deje que se llame a HQUSER, y el camino completo para que se vea así: \\\\ Server \\ Perfiles \\ HqUser.

Cree un usuario de dominio que coincida con el usuario de su red local y, como ruta al perfil, especifique \\\\ Server \\ Perfiles \\ HqUser.

En una computadora que contiene el perfil local de nuestro usuario, debe ingresar la cuenta de administrador y usar la pestaña Perfiles de usuario del applet del sistema, cópielo en la carpeta \\\\ Server \\ Perfiles \\ HQUSER.

Es fácil entender que la próxima vez que ingrese al sistema en una nueva cuenta de dominio, nuestro usuario cargará su perfil de trabajo del servidor, y el administrador permanecerá solo para decidir si dejar este perfil o hacerlo local.

Dejar

Muy a menudo, los usuarios están cargados con discos de red innecesarios. Para evitar solicitudes permanentes para limpiar sus carpetas personales de basura innecesaria (por alguna razón, siempre resulta ser necesaria), puede usar el mecanismo de cuotas. Comenzando con Windows 2000, esto puede hacerse mediante medios estándar en volúmenes de NTFS.

Para habilitar la cuota y el mecanismo de configuración, debe ir a las propiedades de volumen local y abrir la pestaña Cuota (cuota) (ver Fig. 7).

También puede ver los datos en el espacio en disco ocupado y configurar las cuotas por separado para cada usuario (ver Fig. 8). El sistema calcula el espacio en disco ocupado según los datos del propietario de los objetos, resumiendo la cantidad de archivos que le pertenecen a ella y las carpetas.

Grupos de usuarios en anuncio

Gestión de usuarios dentro del dominio: la tarea es simple. Pero cuando necesita configurar el acceso a ciertos recursos para varias docenas (o cientos) de los usuarios, puede irse mucho tiempo para la distribución de los derechos de acceso.

Y si es necesario delimitar sutilmente los derechos a los participantes de varios dominios dentro del árbol o bosque, la tarea de las tareas de la teoría de los conjuntos surge ante el administrador. El uso de grupos llega al rescate.

La característica principal de los grupos encontrados dentro del dominio se proporcionó en el último artículo sobre la arquitectura del servicio de directorio.

Permítanme recordarle que los grupos de dominios locales pueden incluir a los usuarios de su dominio y otros dominios en el bosque, pero su área se limita al dominio al que pertenece.

Los grupos globales pueden incluir solo usuarios de su dominio, pero existe la posibilidad de usarlos para proporcionar acceso a los recursos tanto dentro de su propio dominio y otro en el bosque.

Los grupos universales, correspondientes a su nombre, pueden contener usuarios de cualquier dominio y también se pueden usar para proporcionar acceso dentro de todo el bosque. No importa si se creará el grupo Universal Group, el único, vale la pena considerar que cuando se mueve, los derechos de acceso se perderán y deberán reasignar nuevamente.

Para comprender los principios anteriores y básicos de grupos de grupos descritos anteriormente, considere un ejemplo. Tengamos un bosque que contenga dos hq.Local y SD.Local Dominio (cuál de ellos es raíz en este caso, no importa). Cada uno de los dominios contiene recursos a qué acceso, y deben proporcionarse los usuarios (ver Fig. 9).

De la fig. 9 Se puede ver que todos los usuarios en el bosque (líneas verdes y rojas) deben tener acceso a los documentos y recursos de distribo, por lo que podemos crear un grupo universal que contiene usuarios de ambos dominios y usarlo al especificar permisos para acceder a ambos recursos. O podemos crear dos grupos globales en cada dominio que los usuarios contendrán solo su dominio, e incluyénlos en un grupo universal. Cualquiera de estos grupos globales también se puede utilizar para asignar derechos.

El acceso al directorio base debe tener usuarios solo desde el dominio HQ.Local (líneas azules), por lo que incluiremos en el grupo de dominio local, y este grupo proporcionará acceso.

El catálogo DISTRIB tendrá el derecho de usar tanto a los miembros del dominio HQ.Local como a los miembros del dominio SD.Local (líneas naranjas en la FIG. 9). Por lo tanto, los usuarios del administrador y el salario pueden agregar HQ.Local al grupo de dominios globales, y luego agregar este grupo al grupo de dominios SD.Local local junto con el usuario de TI. Luego, este grupo local y proporciona acceso al recurso DISTRIB.

Ahora veremos más la anidación de estos grupos y consideraremos otro tipo de grupos de dominios locales incorporados en grupo.

La tabla muestra qué grupos a los que pueden estar incrustados. Aquí, los horizontales se encuentran grupos en los que se invierten los grupos ubicados verticalmente. Además, significa que se puede invertir un tipo de grupos en otro, no hay menos.

En un recurso en Internet en los exámenes de certificación de Microsoft, vi una mención de tal fórmula - AgudLP, lo que significa: Las cuentas se colocan en grupos globales (global), que se colocan en universal (universal), que se colocan en local. Grupos de dominio (dominio local) a los que se aplican permisos). Esta fórmula describe plenamente la posibilidad de anidamiento. Se debe agregar que todas estas especies se pueden incrustar en grupos locales de un solo automóvil (dominios locales exclusivamente dentro de su dominio).

Grupo de dominio anidando

Anidación

Grupos locales

Grupos globales

Grupos universales

Cuenta

Grupos locales

+ (con la excepción de los grupos locales incorporados y solo dentro de su propio dominio)

Grupos globales

+ (solo dentro de su propio dominio)

Grupos universales

Los grupos de dominio local incorporados se encuentran en un recipiente incorporado y son en realidad grupos de máquinas locales, pero solo para controladores de dominio. Y, a diferencia de los grupos de dominios locales, el contenedor de los usuarios no se puede mover a otras unidades organizativas.

La comprensión correcta del proceso de administración de la cuenta le permitirá crear un entorno de trabajo claramente configurado de la empresa, garantizar la flexibilidad de la administración y, lo que es más importante, la tolerancia a la falla y la seguridad del dominio. En el siguiente artículo hablaremos sobre los políticos de grupo como una herramienta para crear un entorno de usuario.

solicitud

Matices de autenticación de dominio

Cuando utilice perfiles locales, puede ocurrir una situación cuando el usuario del dominio intenta ingresar puesto de trabajoLo que tiene su perfil local, pero por alguna razón no tiene acceso al controlador. Sorprendentemente, el usuario pasa con éxito la autenticación y se le permitirá trabajar.

Dicha situación surge debido al almacenamiento en caché del mandato del usuario y se puede corregir haciendo cambios en el registro. Para hacer esto, en el HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Software \\ Microsoft \\ Windows NT \\ Actual Version \\ Winlogon (si no hay) Entrada con el nombre CachedlogonCount, el tipo de datos REG_DWORD y establece su valor a cero. Se puede lograr un resultado similar utilizando políticas de grupo.

  1. Emelyanov A. Principios Construcción de dominios Dominios Active Directory, // " Administrador de sistema", №2, 2007 - P. 38-43.

En contacto con

Después de instalar Active Directory, puede proceder a crear objetos y controlarlos.

6.5.1. Creando divisiones y objetos en ellos.

6.5.1.1. Creando divisiones organizativas (OP)

OP puede crear dentro del dominio, el objeto del controlador de dominio u otro OP (Fig. 6.3). En el OP creado, puedes agregar objetos.

Para crear una OP, es necesario tener autoridad para agregar divisiones al padre OP, un dominio o el nodo del controlador de dominio, donde se creará el OP. De forma predeterminada, tales poderes se entregan al grupo de administradores.

personas).

No puedes crear un OP en la mayoría de los contenedores estándar.

nerkov, como computadoras o usuarios.

Higo. 6.3. Departamento de OP de OTI en el nodo del controlador de dominio

OP se crean para simplificar la administración de la red. La estructura de la OP debe basarse en tareas específicas infierno-

ministerio. Puede cambiar fácilmente la estructura del OP o mover objetos entre el OP.

OP se crean en los siguientes casos:

proporcionar poderes administrativos a otros usuarios o administradores;

para agrupar objetos sobre los cuales se realizan operaciones administrativas similares; Esto facilita la búsqueda de similares. recursos de red y su servicio, por lo que, se puede combinar en una operación todos los objetos.Usuario para empleados temporales;

para limitar la visibilidad de los recursos de la red al almacenamiento de Active Directory, los usuarios solo verán aquellos objetos a los que el acceso; Los permisos para OP se pueden cambiar fácilmente al limitar el acceso a información confidencial.

6.5.1.2. Añadiendo objetos en OP

Para agregar objetos a la OP, debe tenerlo con la autoridad apropiada. De forma predeterminada, dichos derechos proporcionados al Grupo Administradores. Las variedades de los objetos que se están creando dependen de las reglas del esquema utilizadas por el asistente o snap. Algunos atributos de objetos se pueden definir solo después de su creación.

6.5.2. Objetos de control Active Directory

La administración de objetos de Active Directory incluye buscar objetos, cambiarlos, destrucción o movimiento. En los últimos dos casos, debe tener permisos apropiados para el objeto o para la OP, donde mueve el objeto. De forma predeterminada, todos los miembros del grupo de administradores tienen estos poderes.

6.5.2.1. Buscar objetos

El catálogo global (GC) contiene una réplica parcial de todo el catálogo y almacena información sobre todos los objetos en el dominio o árbol forestal. Por lo tanto, el usuario puede encontrar un objeto independientemente de su ubicación en el dominio o bosque. El contenido del GC se genera automáticamente por información de los dominios que conforman el directorio.

Para buscar objetos, abra el complemento, cuyo acceso directo se encuentra en el grupo de herramientas programadas. En el árbol de la consola, haga clic con el botón derecho.

use el botón del mouse OP y seleccione el comando Buscar (encontrar) en el menú contextual. Se abre un cuadro de diálogo

(Búsqueda) (Fig. 6.4).

Higo. 6.4. Buscar cuadro de diálogo

Si revela el menú contextual del objeto. Carpeta compartida (carpeta compartida)y elige el comandante

(Encuentra), se iniciará la búsqueda de Windows Explorer, y puede buscar carpeta compartida Archivos y subcarpetas.

El cuadro de diálogo Buscar incluye opciones de búsqueda en el GC, lo que le permite encontrar cuentas, grupos e impresoras.

6.5.2.2. Cambiar valores de atributo

y eliminación de objetos

Para cambiar los valores de atributo, abra la AC.

tive Directory Usuarios y computadoras y seleccione una instancia de objeto

que. En el menú Acción, seleccione Compruerzos. En el cuadro de diálogo Propiedades.

la ECTA cambia los atributos de objeto deseados. Luego, haga modificaciones a la descripción del objeto, por ejemplo, modifique el objeto de usuario para cambiar el nombre, la ubicación y la dirección de correo electrónico del usuario. Si los objetos ya no son necesarios, elimínelos para fines de seguridad: Apertura del equipo de los usuarios de directorios activos y

Computadoras, resalte una instancia del objeto que se está eliminando, y luego en el menú Herramientas, seleccione Eliminar

(Borrar).

6.5.2.3. Mover objetos

En el almacenamiento de Active Directory, puede mover objetos, por ejemplo, entre OP para reflejar los cambios en la estructura de la empresa cuando el empleado se transfiere de un departamento a

goy. Para hacer esto, abriendo el chasquido. Usuarios de Active Directory y

puños, seleccione el objeto en movimiento, seleccione Mover (mover) y

especifique la nueva ubicación del objeto.

6.5.3. Control de acceso a objetos de Active Directory.

Para controlar el acceso a los objetos de Active Directory, se utiliza un modelo de protección orientado a objetos, dicho modelo de protección NTFS.

Cada objeto de Active Directory tiene un descriptor de seguridad que determina quién tiene derecho a acceder al objeto y al tipo de acceso. Windows Server utiliza descriptores de seguridad para controlar el acceso a los objetos.

Para simplificar la administración, es posible agrupar objetos con los mismos requisitos de seguridad en el OP y asignar permisos de acceso para toda la OP y todos los objetos.

6.5.3.1. Gestión de permisos de Active Directory

Los permisos de Active Directory proporcionan protección de recursos, lo que le permite administrar el acceso a instancias de objetos o atributos de objetos y determinar la vista del acceso proporcionado.

Protección de Active Directory

El administrador o propietario del objeto debe asignar un objeto de autorización de acceso antes de que los usuarios puedan acceder a este objeto. Windows Server almacena la lista de control de acceso (lista de control de acceso, ACL) para cada

el objeto Active Directory.

El objeto ACL incluye una lista de usuarios que pueden acceder al objeto, así como un conjunto de objetos permisibles.

Puedes usar permisos para destino. autoridad administrativa Un usuario o grupo específico en relación con OP, la jerarquía de la OP o objeto separado sin nombrar permisos administrativos para

objetos de directorio anctive.

Permisos de acceso a objeto

Depende del tipo de objeto, por ejemplo, la resolución de la contraseña de restablecimiento está permitida para obtener objetos, pero no para objetos

Ordenador.

El usuario puede ser miembro de varios grupos con diferentes permisos para cada uno de ellos que proporcionan niveles diferentes Acceso a objetos. Cuando asigna permiso para acceder al objeto, un miembro del grupo, dotado de otros permisos, los derechos efectivos del usuario se desarrollarán a partir de sus permisos y permisos del grupo.

Puede proporcionar o cancelar permisos. Permisos cancelados para usuarios y grupos de permisos emitidos más prioritarios.

Si el usuario está prohibido acceder al objeto, no recibirá acceso a él, incluso como miembro del grupo plenipotenciario.

Asignación de permisos de Active Directory

Configure los permisos de objetos y sus atributos permite la herramienta. Directorio activo de usuarios y computadoras. Nombrar

las soluciones también pueden estar en la pestaña. Seguridadel cuadro de diálogo Propiedades del objeto.

Para cumplir con la mayoría de las tareas administrativas, hay suficientes permisos estándar.



¿Te gustó el artículo? Compártelo
Artículos recomendados sobre el tema.
Causas de por qué Flash Player no funciona, y la solución de problemasCausas de por qué Flash Player no funciona, y la solución de problemas
La computadora portátil se apaga, ¿qué hacer?La computadora portátil se apaga, ¿qué hacer?
HP Pavilion DV6: Características y comentariosHP Pavilion DV6: Características y comentarios
Los visitantes ahora están discutiendo
Formato de representación de un número de punto flotante. Cómo se almacenan los números negativos en la memoria de la computadoraFormato de representación de un número de punto flotante. Cómo se almacenan los números negativos en la memoria de la computadora Asus
Computer papas fritas y no enciende qué hacer?Computer papas fritas y no enciende qué hacer? Enlace D
¿Por qué no funciona el ratón en una computadora portátil o ratón?¿Por qué no funciona el ratón en una computadora portátil o ratón? Androide
¿Cómo aumentar o disminuir la escala de la página (Fuente) en los compañeros de clase?¿Cómo aumentar o disminuir la escala de la página (Fuente) en los compañeros de clase? Problemas