Administración de Active Directory usando PowerShell. Instalación de Active Directory. Creando divisiones y objetos en ellos.

En la primera parte del ciclo de los artículos, hice un breve nuevas características Directorio Activo. Veamos todo esto más de cerca ...

Configurando el rol Ad ds

Para instalar Active Directory Domain Services, el Administrador del servidor y Windows PowerShell., así como para instalar todos los demás roles y componentes del servidor y en Servidor de windows 2012.

Integración del servidor y ad ds administrador.

El administrador del servidor actúa como un concentrador de administración de un solo servidor. Su panel actualiza periódicamente. roles y grupos de servidores remotos.. El gerente del servidor proporciona gobernanza centralizada Servidores locales y remotos sin la necesidad de acceder a la consola local. Los servicios de dominio de Active Directory son uno de estos roles; Ejecutando el administrador del servidor en el controlador de dominio o medios administración remota Servidores En el cliente de Windows 8, verá todos los eventos importantes que han sucedido recientemente en los controladores de dominio en el bosque. Estas ideas incluyen:

Servidor de accesibilidad

Monitor de altas cargas y memoria y advertencias de memoria

condición servicios de Windowsrelacionado con AD DS

Advertencias recientes relacionadas con los servicios de directorio y escriban errores en el registro de eventos

Las mejores prácticas de análisis de controlador de dominio y recomendaciones de Microsoft establecidas

Cesta en el Centro de Administración de Active Directory

En Windows Server 2008 R2, una canasta de Active Directory apareció por primera vez, lo que permitió restaurar los objetos de Active Directory remotos sin recuperación de una copia de seguridad, reiniciando los servicios de dominio de Active Directory o reinicie los controladores de dominio. Windows Server 2012 trajo nuevo interfaz gráfica Para una canasta en el Centro de Administración de Active Directory. Permite a los administradores habilitar la canasta y luego encontrar o restaurar objetos remotos en un contexto de dominio en el bosque, y todo esto sin uso directo de Windows PowerShell Cmdlers. Centro de administración de Active Directory y Active Directory La cesta aún usa Windows Motor PowerShell, por lo que los escenarios anteriores y la ejecución de cmdlets individuales pueden continuar aplicándose con éxito.

Configuraciones detalladas para cuentas de enclavamiento y contraseñas en el centro de administración

En Windows Server 2008, han aparecido políticas de contraseña detalladas, que permitieron a los administradores configurar varias contraseñas y políticas de bloqueo de cuenta en el dominio. Esta decisión permitió que más flexiblemente administrara una política de dominio para garantizar reglas de contraseña más o menos estrictas, basadas en usuarios y grupos. No tenía una interfaz de gestión separada y los administradores tuvieron que configurarlo utilizando LDP.EXE o ADSIEDIT.MSC. Windows Server 2008 R2 introdujo el módulo ActiveDirectory para Windows PowerShell, que permitió a los administradores usar la interfaz de línea de comandos para FGPP. Windows Server 2012 trae una interfaz gráfica para una administración de políticas de contraseña detallada. El Centro de administración de Active Directory ahora es el punto de inicio del control simplificado FGPP para todos los administradores.

Ver la historia de Windows PowerShell

Windows Server 2008 R2 introdujo el Centro de Administración de Active Directory, que reemplazó a los administradores conocidos desde la hora de Windows 2000, la Active Directory se ejecuta y las computadoras. El Centro de Administración de Active Directory simplemente utiliza el motor del módulo ActivedIrctory debajo del capó para PowerShell, proporcionando una interfaz gráfica para ejecutar comandos de administración.

Dado que el propio módulo de activación contiene más de cien equipos, pueden estar ligeramente confundidos. Ahora PowerShell está estrechamente integrado en la estrategia de administración de Windows, y el Centro de Administración de Active Directory ahora incluye la visualización del historial de ejecución de los comandos que le permite ver el comando que se realizó en la interfaz gráfica. También puede buscar aquí y copiar, limpiar la historia y agregar notas en una interfaz simple y conveniente. Esto permitirá al administrador usar la interfaz gráfica para crear y editar objetos, y luego verlos en el historial de visualización, para obtener más información sobre los scripts de PowerShell en los ejemplos.

Replicación de PowerShell por medio de

¡Hoderay! Ahora, la vieja Navidad puede ir a la paz, en el nuevo módulo PowerShell para Active Directory ahora, existe una funcionalidad mucho más rica, le permite configurar sitios, subred, de subred, conexiones, sitios y cabezas de puentes. También podemos controlar La replicación de metadatos y estado, vector de actualización de cola (UTDVEC).

El uso de cmdlets de replicación junto con otros cmdms Add Powershell Módulo le permite administrar todo el bosque usando solo una consola.

Todo esto proporciona un ímpetu adicional a los administradores que desean utilizar todas las características nuevas de Windows Server sin usar la interfaz gráfica, lo que reducirá la superficie de los ataques y el tiempo de mantenimiento del servidor. Esto es de particular importancia si los servidores deben implementarse en redes altamente protegidas, como el enrutador secreto del protocolo de Internet (SIPR) y las redes perimetrales corporativas (DMZ).

Me permitiré aquí tener en cuenta que el nuevo asistente de instalación de Windows Server 2012 recomienda inmediatamente la instalación de un servidor en el modo central, como la instalación más eficiente, en contraste con versión previa Instalador en Windows Server 2008 R2. (Esta opción se selecciona inmediatamente de forma predeterminada)

Referencia técnica del servidor de Windows

Mejoras en la emisión y gestión de RID.

The Rid Master apareció en Windows 2000, que emitió un grupo de identificadores relativos para los controladores de dominio para que este último pueda crear identificadores de seguridad (SID) para los directores de seguridad, como los usuarios, los grupos y las computadoras. De forma predeterminada, el espacio Global Rid se limita a 2 30 (o 1073741823) del número total de identificadores creados en el dominio. Identificadores SID no puedo Ser re-creado o reeditado. Durante mucho tiempo, Rid Boom debe comenzar a funcionar en grandes dominios, o los incidentes pueden llevar a agotamientos innecesarios de la piscina Rid. Windows Server 2012 revisa varios momentos asociados con la emisión de problemas de administración y eliminación por primera vez desde 1999. Éstas incluyen:

• El uso periódico de la piscina Rid se registra ahora como una advertencia en el registro de eventos.
• El evento se crea sobre la piscina no esencial.
• El límite máximo de política de librar en el tamaño del bloque Rid se aplica a la fuerza.
• La propiedad artificial se aplica a la fuerza y \u200b\u200bentra a la alerta en el registro de eventos si se agota el espacio global de RID, permite que el administrador tome medidas antes de agotarse.
• Global Spacerid ahora se incrementa en un momento;), duplica el tamaño de las direcciones a 2 31 (2,147,483,648 SIDS) cómo funcionan los identificadores de seguridad

para tocar el Rida con las manos ayudará ... ...dcdiag:

Dcdiag.exe / prueba: RIDMANAGER / V | Buscar / i "Disponible Rid Pool para el dominio"

o powershell

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

####################### # Obtener información de eliminación de dominio # ####################### ## basado en el código de https://blogs.technet.com/b/askds/archive/2011/09/12/managed-rid-pool-depletion.aspx Import-Module Activedirectory Escritura-verbosa "deshacerse de la información del anuncio, incluido el número de libras emitidas y restantes" r $ RidmanagerProperty \u003d Get-ADOBJECT "CN \u003d Rid Manager $, CN \u003d System, $ AddomainDistinguibleName" -Property RidevailablePool -Server ((Get-Addomain $ DomainDNS) .RIDMASTER) $ Ridinfo \u003d $ RidmanagerProperty.RidavailablePool $ Totalsids \u003d $ Ridinfo / (:: POW (2.32)) $ TEMP64VAL \u003d $ TOTALSIDSIDS * (:: POW (2,32)) $ Curridpoolcount \u003d $ Ridinfo - $ TEMP64VAL $ RIDSREMININIO \u003d $ TOTALSIDS - $ CURRIDPOOLCOUNT $ RIDSISSISSDPPCNTOFTOTETOTAL \u003d ($ CURRIDPOOLCOUNT / $ TOTALSIDS) $ RidsissississuedPERCENTOTETAL \u003d "(0: P2)" -F $ RIDSISSISODPCNTOFTOTE $ RIDSREMININGPCNTOFTOTAL \u003d ($ RIDSREMINGING / $ TOTALSIDS) $ RIDSREMININGERPERPERCENTOFOTAL \u003d "(0: P2)" -F $ RIDSREMININIOPCNTOTOTOTETE Solutibilidad de escritura "RIDS emitida: $ currentridpoolcount ($ Ridsississ Sobrepentotototal de total)` R " Salida de escritura "RIDS RESTANTE: $ RIDSREMINGING ($ RIDSREMININGERINGENTOFETAL DE TOTAL)` R "

Continuado ... 🙂

En el número de noviembre, informatepress, le hemos conocido con características clave de Windows PowerShell: el nuevo entorno de línea de comandos y el idioma de script desde microsoft.. Hoy consideraremos el uso de este entorno para administrar el Directorio Corporativo de Active Directory (AD).

Brevemente sobre PowerShell

Windows PowerShell es una nueva línea de comandos y un idioma de guión de Microsoft. PowerShell es un componente de Windows Server 2008 (solo necesita seleccionarlo en el Administrador de servidores) y está disponible para descargar en la página www.microsoft.com/powershell para Windows XP, Windows Server 2003 y Windows Vista.

Si no está familiarizado con Windows PowerShell, le recomendamos que lea por primera vez el artículo "Windows PowerShell. Brevemente sobre lo principal ". En ComportPress No. 11'2007. En esta publicación, nos limitaremos a una breve repetición de los conceptos básicos y continuaremos inmediatamente al tema principal del artículo.

Entonces, equipos de PowerShell Las abrazaderas se llaman (cmdlet) y consisten en un verbo (por ejemplo, obtener, configurar, configurar, nuevo, eliminar, mover, conectarse) y un sustantivo en un solo número que describe un objeto de acción. Hay un guión entre ellos. Resulta algo como: Get-Process, Stop-Service, etc.

Los equipos, por regla general, están asociados con un transportador denotado por una característica vertical (|). Este signo significa que toda la colección de objetos del comando anterior se transmite a la siguiente.

Dicha orientación de objetos es muy conveniente porque hace que sea fácil operar objetos y vincular a los equipos juntos. En este artículo, informaremos cómo este enfoque facilita la administración del directorio corporativo según Active Directory.

Formas de trabajar con Active Directory.

Directorio Active Directory es la base redes corporativas sobre el base de datos de Windows Servidor 2000, 2003 y 2008. Es allí donde todas las cuentas de usuario se almacenan, información sobre grupos, computadoras de red, cuadros de correo electrónico y muchas otras cosas.

Toda esta riqueza debe gestionarse, para la cual se pretende el kit de herramientas correspondiente, que forma parte del servidor de Windows, pero es PowerShell lo que facilita la automatización de las acciones en masa dirigidas a un gran número de objetos.

Hay tres formas principales de trabajar con Active Directory en Windows PowerShell:

• uso de la interfaz de interfaces de servicio de Active Directory (ADSI), este método es el más difícil, pero funciona en cualquier instalación de PowerShell y no requiere módulos adicionales. También está más cerca del método de control que se utilizó en el idioma del escenario de VBSCRIPT;
• uso del proveedor de Active Directory incluido en la extensión PowerShell, este método le permite conectar un directorio en el formulario de un disco en su computadora y navegar a través de él utilizando los comandos apropiados: DIR, CD, etc. Este método requiere instalar un módulo adicional de CODEPLEX;
• uso de los CMDLETS de Active Directory, esta es la forma más conveniente de manipular los objetos del directorio, pero también requiere una instalación adicional de los módulos correspondientes.

Adsi

Las interfaces de servicio de Active Directory (ADSI) son familiares para todos los que intentaron escribir scripts en el idioma vbscript. En PowerShell, esta interfaz se implementa utilizando el llamado adaptador. Al especificar en corchetes, el nombre del adaptador (ADSI) y la ruta al objeto en el directorio de consultas LDAP (Protocolo de acceso al directorio ligero: el protocolo de trabajo con los directorios, que admite tanto AD), obtenemos acceso a un objeto de El directorio y puede seguir llamando métodos.

Por ejemplo, se conecte a uno de los contenedores de directorios y cree una nueva cuenta de usuario en él.

$ Objou \u003d "LDAP: // MYDC: 389 / OU \u003d CTO, DC \u003d Empleados, DC \u003d Testomain, DC \u003d Local"

Entonces, ahora tenemos una variable de $ Objou, contiene información sobre el contenedor (nombres de variables en PowerShell comienzan desde el icono del dólar).

Llamar al método Crear. Y cree un nuevo usuario en el contenedor:

$ Objuser \u003d $ Objou.Create ("Usuario", "CN \u003d Dmitry Sotnikov")

Ahora podemos establecer varios atributos:

$ objuser.put ("SamaccountName", "Dsotnikov")

Finalmente, especificamos el directorio que se deben aplicar estos cambios:

$ objuser.setinfo ()

Las ventajas de usar el adaptador ADSI son:

• su presencia en cualquier PowerShell de entrega. Si ha instalado PowerShell y hay un directorio con el que necesita trabajar, usted tiene todo lo que necesita;
• aplicar un enfoque cerca de VBScript. Si tiene una experiencia rica con el directorio en el idioma del escenario de VBSCRIPT o en Anexes.net, puede sentirse con confianza usando este enfoque.

Desafortunadamente, el método tiene fallas:

• la dificultad es la forma más difícil de trabajar con el directorio. Escriba la forma en que el objeto en forma de una solicitud LDAP es no trivial. Para cualquier trabajo con atributos, debe especificar sus nombres internos y, por lo tanto, es necesario recordar que el atributo que denota la ciudad de la ciudad no se llama "Ciudad", sino "L", etc.;
• aumenta: como se ve desde el ejemplo, el funcionamiento más simple de crear una cuenta ocupa al menos cuatro líneas, incluidas las operaciones de servicio para conectarse al contenedor y aplicar cambios. Por lo tanto, incluso las operaciones relativamente simples se vuelven similares a los escenarios complejos.

Proveedor de anuncios

PowerShell le permite representar varios sistemas en forma de discos adicionales de la computadora utilizando los llamados proveedores. Por ejemplo, la entrega de PowerShell incluye un proveedor de registro y podemos pasar al registro utilizando comandos de CD y CD familiares y favoritos (para los amantes de UNIX, también se admite el equipo LS).

El proveedor de Active Directory no está en PowerShell, pero puede instalarlo, yendo al sitio web de Proyecto de Extensiones PowerShell - Extensiones de la Comunidad de PowerShell: http://www.codeplex.com/powershellcx.

Este proyecto S. fuente abiertaLo que agrega un gran número de equipos al sistema PowerShell, y además, establece el proveedor de anuncios.

Uso del proveedor de Active Directory

Después de instalar extensiones escribiendo GET-PSDRIVE, vemos que el disco se agrega al Active Directory actual.

Ahora podemos ir a este directorio escribiendo un CD y especificando el nombre de dominio, y en cualquier contenedor use el comando DIR para ver su contenido.

Además, puede llamar a otros comandos de administración de archivos familiares (por ejemplo, DEL).

Las ventajas indudables de usar el proveedor pueden atribuirse:

la naturalidad de la representación de la estructura del directorio es el directorio de anuncios por su naturaleza Herarchychny y es similar al sistema de archivos;

la conveniencia de encontrar objetos es aplicar CD y Dir Mucho más conveniente que hacer una consulta en LDAP.

Las desventajas son sorprendentes:

• la complejidad de realizar cambios en los objetos: el proveedor ayuda a alcanzar fácilmente el objeto, pero para cambiar algo, hemos vuelve a usar todos los mismos directorios que en el método ADSI, y para esto necesitas operar en un bajo nivel de servicio. métodos y atributos ad;
• necesidad instalación adicional - El proveedor no está incluido en PowerShell, y es necesario descargar e instalar extensiones de PowerShell;
• origen del tercer día: las extensiones de PowerShell no son un producto de Microsoft. Son creados por los entusiastas del proyecto. Usted es libre de usarlos, pero el soporte técnico tendrá que ponerse en contacto con Microsoft, pero al sitio del proyecto.

Cmdlets ad

Además del proveedor descrito anteriormente, hay un conjunto de cmdlets para trabajar con AD (a menudo llamados cmdlets AD o CMDlets de QAD), disponibles de http://www.quest.com/activerres_server/Ams.aspx.

Los cámaras consisten en verbos estándar de operaciones (Get-, Set-, Cambiar nombre, eliminar, nuevos, mover, conectar-) y sustantivos con prefijo QAD (-Qaduser, -QADGROUP, -QAdComputer, -QADOBJECT).

Por ejemplo, para crear un nuevo usuario de lectura, deberá ejecutar dicho comando:

Las ventajas de este enfoque son:

• fácil: el uso de cmdlets oculta la complejidad del directorio, sus esquemas y atributos internos. Trabaja con los objetos de directorio a nivel de los nombres de objetos comprensibles (usuario, grupo, computadora), sus propiedades (nombre, contraseña, ciudad, departamento) y acción sobre ellos (obtenga, se establecen, eliminan, se mueven, nuevos);
• brevedad y expresividad: como hemos visto, la mayoría de las acciones que usan cmdlets se pueden expresar en forma de operaciones simples y naturales de una sola línea.

• la necesidad de instalación adicional: cmdlets, como el proveedor, no se incluyen en PowerShell, y debe descargar e instalar la biblioteca adecuada;
• origen del tercer día: los cmdlets para trabajar con AD no son un producto de Microsoft. Son creados por el software Microsoft Partner - Quest. Usted es libre de aplicarlos, pero el soporte técnico tendrá que ponerse en contacto con Microsoft, pero en los foros de Active Directory en el sitio web de PowerGUI.org.

En nuestra opinión, estas desventajas con más de compensar la simplicidad y la naturalidad en uso, por lo que ejemplos prácticos Se le dará utilizando este enfoque particular.

Gestionar Active Directory.

Veamos cómo PowerShell le permite realizar operaciones básicas para trabajar con el directorio de anuncios:

• recibir la información;
• cambio de propiedades;
• trabajando con grupos;
• creando nuevos objetos;
• cambiando la estructura del directorio.

Recibiendo la información

La obtención de información se realiza en PowerShell utilizando los cmdlets GETI GLAGOL.

Por ejemplo, para obtener una lista de todos los usuarios, puntuación:

Para grupos:

Para computadoras registra:

Si no necesita todos los registros, pero algunos específicos, puede elegirlos con los parámetros de comando.

Obtención de una lista de usuarios

Todos los grupos de los usuarios del contenedor:

GET-QADGROUP -Searchroot Scorpio.Local / Usuarios

Todos los usuarios del departamento de ventas de la oficina de Moscú, cuyos nombres comienzan en la letra A:

Get-Qaduser -City Moscow -Deepartment Sales -Name A *

Al mismo tiempo, puede decirle a PowerShell'y, en qué forma desea ver la información recibida.

Mesa con nombres, ciudades y departamentos de empleados:

Get-Qaduser | Nombre de la tabla de formato, ciudad, departamento

Lo mismo con la clasificación por ciudades:

Get-Qaduser | Ordenar ciudad | Tabla de formato DisplayName, Ciudad, Departamento

Valores de clasificación y selección de campos de salida

Para la vista de lista de la misma información, simplemente usamos el comando de lista de formato:

Get-Qaduser | Nombre de la lista de formatos, ciudad, departamento

Exportar información al archivo CSV (valores separados por comas - valores a través de coma):

Get-Qaduser | Seleccione Nombre, Ciudad, Departamento | Usuarios de CSV.csv

Crear un informe en formato HTML:

Get-Qaduser | Seleccione Nombre, Ciudad, Departamento | Convermo-html | Usuarios fuera de archivo.html

Por lo tanto, una línea de un simple comando PowerShell puede crear informes complejos en un formato conveniente para usted.

PowerShell le permite cambiar los atributos del conjunto.
Entradas de un comando

Cambiar propiedades

Después de que hemos dominado información del directorio, es hora de cambiar algo en él.

Las propiedades de los objetos se pueden manipular utilizando los comandos establecidos.

Por ejemplo, cambia mi teléfono:

Set-Qaduser 'Dmitry Sotnikov' -phone '111-111-111'

Pero, por supuesto, los cambios masivos son más interesantes. Para hacer esto, podemos usar el transportador PowerShell, es decir, para recibir una lista de objetos que necesita usando los comandos de Get-y enviarlos al comando SET para realizar cambios.

Por ejemplo, nuestra oficina permanente se mudó a una nueva habitación. Tomar a todos los usuarios de Perm y asignarlos. nuevo número Teléfono:

Get-Qaduser -City Perm | Set-Qaduser -PhoneNumber '+ 7-342-1111111'

Para las manipulaciones más complejas, puede usar el cmdlet foreach-objeto. Por ejemplo, cada usuario asignará una descripción que consiste en su departamento y la ciudad:

Get-Qaduser | Foreach-objeto (Set-Qaduser $ _ -description (S_.City + "" + $ _. Departamento))

La variable de $ _ en este ejemplo indica el objeto actual de la colección.

PowerShell proporciona oportunidades para un trabajo conveniente.
Con grupos de usuarios

Trabajando con grupos

Trabajar con grupos y membresía en ellos es otra operación masiva que a menudo desea automatizar. PowerShell proporciona tal oportunidad.

Obtención de miembros del grupo se realiza utilizando el cmdlet Get-QadgroupMember:

Get-QAdgrubmember Managers

Agregar un objeto al grupo también es fácil:

Add-QadgroupMember Scorpio \\ Managers -Member Dsotnikov

De manera similar, la eliminación del grupo se realiza utilizando los cmdlets de remove-qadgroupmember.

Pero, por supuesto, las manipulaciones masivas son más útiles. Agregue todos los gerentes al grupo apropiado:

Get-Qaduser -Title Manager | Add-QadgroupMember Scorpio \\ gerentes

Copie la membresía en el grupo:

Get-QadgroupMember Scorpio \\ Managers | ADD-QADGAURMOUPMEMEMB SCORPIO \\ Managers_Copy

Use el filtro para copiar no todos los miembros del grupo, pero solo aquellos que son responsables cierto criterio (Por ejemplo, ubicado en la región derecha):

Get-QadgroupMember Scorpio \\ Managers | Donde ($ _. City -EQ 'Ekaterinburg') | Add-qadgroupmitmember Scorpio \\ ekaterinburg_managers

Tenga en cuenta cómo filtramos los usuarios con el comando donde y lógico condición ( operador lógico -eq es un operador de igualdad en PowerShell, de inglés.es igual a

Creando objetos

Creación de objetos como ya hemos visto, realizado por equipos nuevos:

New-Qaduser -ParentContainer Scorpio.Local / Empleados -Name 'Dmitry Sotnikov'

New-Qadgroup -ParentContainer Scorpio.Local / Empleados -Name 'Managers' Type Security -Scope Global

Puede instalar cualquier otro atributo en el proceso de creación de un registro:

New-Qaduser -ParentContainer Scorpio.Local / Empleados -Name 'Dmitry Sotnikov' -SamaccountName Dsotnikov -City 'Saint-Petersburg' -Password ' [Correo electrónico protegido]’

Para activar el registro, simplemente envíelo al transportador en habilitación-qaduser (no olvide configurar la contraseña, de lo contrario, la operación no pasará):

New-Qaduser -ParentContainer Scorpio.Local / Empleados -Name 'Dmitry Sotnikov' -Password ' [Correo electrónico protegido]'| Habilitar-Qaduser.

Import-csv new_users.csv | Foreach-objeto (New-Qaduser -ParentContainer Scorpio.Local / Usuarios -Name ($ _. Familia + ',' + $ _. Imya) -SamaccountName ($ _. Imia + $ _. Familia) -Departamento $ _. Departamento -Title $ _. Título)

Tenga en cuenta que estamos en la mosca en el nombre de la cuenta desde el apellido y el nombre de usuario.

Ejemplo de uso del archivo de importación
Registro

Cambiando la estructura del directorio.

Finalmente, por supuesto, puede administrar la estructura del directorio.

Por ejemplo, puedes crear nuevos contenedores:

New-QADOBJECT -TYTYPE ORGANIAUNIT-PARENTCONETER SCORPIO.LOCAL -NAME NUEVOU

y mover objetos en ellos uno por uno:

Mover-QADOBJECT MYSERVER -TE Scorpio.Local / Servidores

o al por mayor:

Get-Qaduser -Disabled | Mover-QADOBJECT -TE Scorpio.Local / Discapacitado

Importar archivo y crear nuevas cuentas.

Podemos seleccionar fácilmente las cuentas que satisfacen
Un cierto criterio, y moverlos a otro contenedor.

Y mucho más

MMA revisó solo una pequeña parte de los scripts para administrar un Active Directory. Para obtener una lista completa de CMDlets para AD, ejecute el comando:

Get-command * -qad *

Para obtener un certificado para cualquier equipo:

Get-help get-qaduser

Para averiguar qué propiedades hay un objeto objetivo con el comando:

GET-USUARIOS | Miembro de Get-Miembro.

Las características de PowerShell son prácticamente infinitas, pero al mismo tiempo los encuentran lo suficiente.

Conclusión

KCAK Vimos a PowerShell es un excelente Active Directory. Parte de las propiedades (ADSI) está disponible en cualquier configuración de PowerShell. Algunos (proveedor y cmdlets) requieren módulos adicionales. Todos ellos brindan grandes oportunidades para automatizar la administración de su directorio corporativo y, por lo tanto, reducir los riesgos, deshacerse de la rutina y aumentar su eficiencia en el trabajo.

Lo principal es que estas tecnologías ya están disponibles y pueden ayudarlo en la administración de sistemas confiados hoy. En conclusión, citamos el administrador del sistema CJSC EVRAASFINANZ CJSC VASILY GUSEVA: "En nuestra empresa, así como en todas partes, Active Directory es uno de los servicios más utilizados y críticos. Con PowerShell y CMDlets ad, muchas tareas se han vuelto más fáciles de realizar a través de línea de comandoen lugar de a través de ADUC (Usuarios y computadoras de Active Directory. - Aprox. rojo.). NUNCA NUNCA Automatización Active Directory fue tan fácil y accesible ".

Active Directory es un servicio de administración de servicios. Son mucho mejor alternativa Grupos locales y le permite crear redes informáticas con una gestión eficiente y una protección confiable de datos.

Si no ha encontrado anteriormente con el concepto de Active Directory y no sabe cómo funcionan dichos servicios, este artículo es para usted. Vamos a descubrir qué significa este concepto las ventajas de dichas bases de datos y cómo crear y configurarlas para el uso inicial.

Active Directory es una forma muy conveniente de control del sistema. Con Active Directory, puede administrar efectivamente los datos.

Estos servicios le permiten crear una sola base de datos en ejecución de controladores de dominio. Si tiene una empresa, liderar la oficina, en general, controlar las actividades de muchas personas que deben combinarse, será útil para un dominio de este tipo.

Todos los objetos se incluyen en TI: computadoras, impresoras, faxes, cuentas de usuario, etc. La cantidad de dominios en los que se encuentra los datos se denomina "bosque". La base de Active Directory es un entorno de dominio donde el número de objetos puede ser de hasta 2 mil millones. Imagina estas escalas?

Es decir, con la ayuda de un "bosque" o base de datos, puede conectar una gran cantidad de empleados y equipos en la oficina, y sin la unión al lugar: otros usuarios pueden estar conectados a los servicios, por ejemplo, desde el Oficina de la compañía en otra ciudad.

Además, varios dominios se crean dentro de los Servicios de Active Directory, más es necesario, cuanto más fondos son necesarios para controlar su tecnología dentro de la base de datos.

A continuación, al crear una red de este tipo, se determina un dominio de control, e incluso con la presencia posterior de otros dominios, la inicial sigue siendo "parental", es decir, solo tiene acceso completo a la gestión de la información.

¿Dónde están estos datos almacenados, y cuál es la existencia de dominios? Para crear Active Directory, se utilizan controladores. Por lo general, hay dos, si algo sucede con uno, la información se guardará en el segundo controlador.

Otra opción de usar la base es si, por ejemplo, su empresa coopera por la otra, y tiene que hacer un proyecto general. En este caso, puede ser necesario acceder a personalidades extranjeras a los archivos de dominio, y aquí puede configurar un tipo de "relación" entre dos "bosques" diferentes, acceso abierto a la información requerida, no arriesgando la seguridad de otros datos.

En general, Active Directory es un medio para crear una base de datos dentro de una estructura determinada, independientemente de su tamaño. Los usuarios y toda la técnica se combinan en un "bosque", los dominios se crean que se colocan en los controladores.

Todavía es aconsejable aclarar: el trabajo de los servicios es posible exclusivamente en dispositivos con sistemas de servidor Windows. Además, los servidores DNS de 3 a 4 se crean en los controladores. Sirven la zona de dominio principal, y en el caso de que uno de ellos falla, se reemplazan otros servidores.

Después resumen Active Directory para Dummies, naturalmente está interesado en la pregunta: ¿por qué cambiar el grupo local a una base de datos completa? Naturalmente, el campo de las oportunidades es ampliamente más amplio, y para averiguar otras diferencias de los servicios de datos para el control del sistema, consideremos sus ventajas con más detalle.

Ventajas de Active Directory.

PLUSES Active Directory Siguiente:

1. Utilizando un recurso para la autenticación. Con esta situación, debe agregar todas las cuentas en cada PC que requiera acceso a información general. Cuantos más usuarios y tecnología, más difícil es sincronizar estos datos entre ellos.

Y así, cuando se usa servicios con una base de datos, las cuentas se almacenan en un momento, y los cambios entran en vigor inmediatamente en todas las computadoras.

¿Cómo funciona? Cada empleado, llegando a la oficina, lanza el sistema y inicia sesión en su cuenta. La solicitud de entrada se servirá automáticamente en el servidor, y la autenticación se realizará a través de ella.

En cuanto a un determinado orden en la realización de registros, siempre puede dividir a los usuarios al grupo: el "Departamento de Personal" o "Contabilidad".

Es incluso más fácil en este caso proporcionar acceso a la información: si necesita abrir una carpeta para los trabajadores de un departamento, lo hace a través de una base de datos. Obtienen acceso a la carpeta requerida con los datos, mientras que los documentos restantes permanecen cerrados.

1. Control sobre cada participante de la base de datos.

Si en el grupo local, cada participante es independiente, es difícil controlarlo de otra computadora, luego en los dominios puede establecer ciertas reglas que satisfagan las políticas de la compañía.

Usted, como administrador del sistema, puede configurar la configuración de acceso y la configuración de seguridad, y luego aplicarlos para cada grupo de usuarios. Naturalmente, dependiendo de la jerarquía, se pueden determinar más grupos, otros proporcionan acceso a otros archivos y acciones en el sistema.

Además, cuando una nueva persona cae en la empresa, su computadora recibirá inmediatamente el conjunto deseado de configuraciones donde se incluyen los componentes para el trabajo.

1. Universalidad en la instalación de software.

Por cierto, sobre los componentes - cuando asistencia activa Directorio que puede asignar impresoras instaladas programas requeridos Inmediatamente a todos los empleados, establece la configuración de confidencialidad. En general, la creación de una base de datos optimizará significativamente el trabajo, monitorea la seguridad y combinará a los usuarios para maximizar la eficiencia del trabajo.

Y si la compañía opera una utilidad o servicios especiales separados, se pueden sincronizar con dominios y simplificar el acceso a ellos. ¿Cómo? Si combina todos los productos utilizados en la empresa, el empleado no tendrá que ingresar diferentes inicios de sesión y contraseñas para ingresar a cada programa, esta información será común.

Ahora, cuando las ventajas y el significado de usar Active Directory son comprensibles, consideremos el proceso de instalación de los servicios especificados.

Utilice la base de datos en Windows Server 2012

La instalación y configuración de Active Directory es muy difícil, y también es más fácil de lo que parece a primera vista.

Para descargar los servicios, primero debe realizarse de la siguiente manera:

1. Cambie el nombre de la computadora: haga clic en "Inicio", abra el panel de control, el elemento "SISTEMA". Seleccione "Cambiar parámetros" y en las propiedades delante de la cadena "Nombre de la computadora", haga clic en "CAMBIAR", ingrese el nuevo valor para la PC principal.
2. Recargar a solicitud de la PC.
3. Establezca la configuración de la red como esta:
   • A través del panel de control, abra el menú con redes y acceso compartido.
   • Ajuste la configuración del adaptador. Tecla derecha, haga clic en "Propiedades" y abra la pestaña "Red".
   • En la ventana de la lista, haga clic en el protocolo de Internet en el número 4, haga clic nuevamente en "Propiedades".
   • Ingrese la configuración requerida, por ejemplo: Dirección IP - 192.168.10.252, máscara de subred - 255.255.255.0, sublude principal - 192.168.10.1.
   • En la línea "Servidor DNS preferido", especifique la dirección del servidor local, en la "Alternativa ...": otras direcciones de servidores DNS.
   • Guarda los cambios y cierra las ventanas.

Establezca los roles de Active Directory como este:

1. Abra el "Administrador de servidores" a través del inicio.
2. En el menú, seleccione Agregar roles y componentes.
3. El maestro comenzará, pero la primera ventana con la descripción se puede omitir.
4. Marque la cadena de "instalar roles y componentes", continúe.
5. Seleccione su computadora para poner en el directorio activo.
6. En la lista, seleccione la función que desea descargar, para su caso, estos son "Servicios de dominio de Active Directory".
7. Aparecerá ventana pequeña Con la carga de descargar los componentes que necesita, tómelo.
8. Después de que se le ofrezca instalar otros componentes, si no los necesita, simplemente omita este paso haciendo clic en "Siguiente".
9. El asistente de configuración mostrará una ventana con las descripciones de los servicios que está instalado: lea y siga adelante.
10. Hay una lista de componentes que vamos a instalar: verifique si todo es cierto, y si es así, haga clic en la tecla correspondiente.
11. Cuando se completa el proceso, cierre la ventana.
12. Eso es todo: los servicios se descargan a su computadora.

Configuración de Active Directory

Para configurar el servicio de dominio, debe hacer lo siguiente:

• Ejecute la secuencia de selección de configuración.
• Haga clic en el puntero amarillo en la parte superior de la ventana y seleccione "Mejorar la función del servidor en el controlador de dominio".
• Haga clic en agregar un nuevo "bosque" y crear un nombre para el dominio raíz, luego haga clic en "Siguiente".
• Especifique los modos del "bosque" y el dominio, la mayoría de las veces coinciden.
• Sube con una contraseña, pero asegúrate de recordarlo. Ve más lejos.
• Después de eso, puede ver una advertencia de que el dominio no está delegado, y la oferta para verificar el nombre de dominio, puede omitir estos pasos.
• En la siguiente ventana, puede cambiar la ruta a los directorios con bases de datos: hágalo si no son adecuados para usted.
• Ahora verá todos los parámetros que van a instalar: vea si los eligieron correctamente y continúan.
• La solicitud verificará si se realizan los requisitos previos, y si no hay comentarios, o no son críticos, presione "Instalar".
• Después de completar la instalación de la PC sobrecargada de forma independiente.

También puede estar interesado en cómo agregar un usuario a la base de datos. Para hacer esto, use el menú Active Directory, que se encuentra en la sección Administración en el panel de control, u opere el menú Configuración de la base de datos.

Para agregar un nuevo usuario, haga clic en llave correcta Con el nombre del dominio, seleccione "Crear", después de la "División". Aparecerá frente a usted, donde debe ingresar el nombre de la nueva unidad, se desempeña como una carpeta donde puede recopilar usuarios en diferentes departamentos. De la misma manera, luego creas otras unidades y colocan de manera competente a todos los empleados.

A continuación, cuando creó el nombre de la unidad, haga clic en él con el botón derecho del mouse y seleccione "Crear", después de: "Usuario". Ahora queda solo para ingresar los datos necesarios y configurar la configuración de acceso para el usuario.

Cuando se crea un nuevo perfil, haga clic en él seleccionando el menú contextual y abre las "Propiedades". En la pestaña "Cuenta", elimine la marca en el "bloque ...". Eso es todo.

La conclusión general es activa: Active Directory es una herramienta poderosa y útil para el control del sistema, que ayudará a combinar todas las computadoras de los empleados en un comando. Con la ayuda de los servicios, puede crear una base de datos protegida y optimizar significativamente el trabajo y la sincronización de la información entre todos los usuarios. Si las actividades de su empresa y cualquier otro lugar de trabajo están relacionadas con las máquinas de computación electrónicas y la red, debe combinar cuentas y monitorear el trabajo y la confidencialidad, establecer una base de datos basada en Active Directory se convertirá en una solución excelente.

Después de instalar Active Directory, puede proceder a crear objetos y controlarlos.

6.5.1. Creando divisiones y objetos en ellos.

6.5.1.1. Creando divisiones organizativas (OP)

OP puede crear dentro del dominio, el objeto del controlador de dominio u otro OP (Fig. 6.3). En el OP creado, puedes agregar objetos.

Para crear una OP, es necesario tener autoridad para agregar divisiones al padre OP, un dominio o el nodo del controlador de dominio, donde se creará el OP. De forma predeterminada, tales poderes se entregan al grupo de administradores.

personas).

No puedes crear una OP en la mayoría de los contenedores estándar.

nerkov, como computadoras o usuarios.

Higo. 6.3. Departamento de OP de OTI en el nodo del controlador de dominio

OP se crean para simplificar la administración de la red. La estructura de la OP debe basarse en tareas específicas infierno-

ministerio. Puede cambiar fácilmente la estructura del OP o mover objetos entre el OP.

OP se crean en los siguientes casos:

proporcionar poderes administrativos a otros usuarios o administradores;

para agrupar objetos sobre los cuales se realizan operaciones administrativas similares; Esto facilita la búsqueda de recursos de red similares y su servicio, para que pueda combinar todos los objetos en una operación.Usuario para empleados temporales;

para limitar la visibilidad de los recursos de la red al almacenamiento de Active Directory, los usuarios solo verán aquellos objetos a los que el acceso; Los permisos para OP se pueden cambiar fácilmente al limitar el acceso a información confidencial.

6.5.1.2. Añadiendo objetos en OP

Para agregar objetos a la OP, debe tenerlo con la autoridad apropiada. De forma predeterminada, dichos derechos proporcionados al Grupo Administradores. Las variedades de los objetos que se están creando dependen de las reglas del esquema utilizadas por el asistente o snap. Algunos atributos de objetos se pueden definir solo después de su creación.

6.5.2. Objetos de control Active Directory

La administración de objetos de Active Directory incluye buscar objetos, cambiarlos, destrucción o movimiento. En los últimos dos casos, debe tener permisos apropiados para el objeto o para la OP, donde mueve el objeto. De forma predeterminada, todos los miembros del grupo de administradores tienen estos poderes.

6.5.2.1. Buscar objetos

El catálogo global (GC) contiene una réplica parcial de todo el catálogo y almacena información sobre todos los objetos en el dominio o árbol forestal. Por lo tanto, el usuario puede encontrar un objeto independientemente de su ubicación en el dominio o bosque. El contenido del GC se genera automáticamente por información de los dominios que conforman el directorio.

Para buscar objetos, abra el complemento, cuyo acceso directo se encuentra en el grupo de herramientas programadas. En el árbol de la consola, haga clic con el botón derecho.

use el botón del mouse OP y seleccione el comando Buscar (encontrar) en el menú contextual. Se abre un cuadro de diálogo

(Búsqueda) (Fig. 6.4).

Higo. 6.4. Buscar cuadro de diálogo

Si revela el menú contextual del objeto. Carpeta compartida (carpeta compartida)y elige el comandante

(Encuentra), se iniciará la búsqueda de Windows Explorer, y puede buscar carpeta compartida Archivos y subcarpetas.

El cuadro de diálogo Buscar incluye opciones de búsqueda en el GC, lo que le permite encontrar cuentas, grupos e impresoras.

6.5.2.2. Cambiar valores de atributo

y eliminación de objetos

Para cambiar los valores de atributo, abra la AC.

tive Directory Usuarios y computadoras y seleccione una instancia de objeto

que. En el menú Acción, seleccione Compruerzos. En el cuadro de diálogo Propiedades.

la ECTA cambia los atributos de objeto deseados. Luego, haga modificaciones a la descripción del objeto, por ejemplo, modifique el objeto de usuario para cambiar el nombre, la ubicación y dirección electrónica Usuario. Si los objetos ya no son necesarios, elimínelos para fines de seguridad: Apertura del equipo de los usuarios de directorios activos y

Computadoras, resalte una instancia del objeto que se está eliminando, y luego en el menú Herramientas, seleccione Eliminar

(Borrar).

6.5.2.3. Mover objetos

En el almacenamiento de Active Directory, puede mover objetos, por ejemplo, entre OP para reflejar los cambios en la estructura de la empresa cuando el empleado se transfiere de un departamento a

goy. Para hacer esto, abriendo el chasquido. Usuarios de Active Directory y

puños, seleccione el objeto en movimiento, seleccione Mover (mover) y

especifique la nueva ubicación del objeto.

6.5.3. Control de acceso a objetos de Active Directory.

Para controlar el acceso a los objetos de Active Directory, se utiliza un modelo de protección orientado a objetos, dicho modelo de protección NTFS.

Cada objeto de Active Directory tiene un descriptor de seguridad que determina quién tiene derecho a acceder al objeto y al tipo de acceso. Windows Server utiliza descriptores de seguridad para controlar el acceso a los objetos.

Para simplificar la administración, es posible agrupar objetos con los mismos requisitos de seguridad en el OP y asignar permisos de acceso para toda la OP y todos los objetos.

6.5.3.1. Gestión de permisos de Active Directory

Los permisos de Active Directory proporcionan protección de recursos, lo que le permite administrar el acceso a instancias de objetos o atributos de objetos y determinar la vista del acceso proporcionado.

Protección de Active Directory

El administrador o propietario del objeto debe asignar un objeto de autorización de acceso antes de que los usuarios puedan acceder a este objeto. Windows Server almacena la lista de control de acceso (lista de control de acceso, ACL) para cada

el objeto Active Directory.

El objeto ACL incluye una lista de usuarios que pueden acceder al objeto, así como un conjunto de objetos permisibles.

Puedes usar permisos para destino. autoridad administrativa Un usuario o grupo específico en relación con OP, la jerarquía de la OP o objeto separado sin nombrar permisos administrativos para

objetos de directorio anctive.

Permisos de acceso a objeto

Depende del tipo de objeto, por ejemplo, la resolución de la contraseña de restablecimiento está permitida para obtener objetos, pero no para objetos

Ordenador.

El usuario puede ser miembro de varios grupos con diferentes permisos para cada uno de ellos que proporciona niveles diferentes Acceso a objetos. Cuando asigna permiso para acceder al objeto, un miembro del grupo, dotado de otros permisos, los derechos efectivos del usuario se desarrollarán a partir de sus permisos y permisos del grupo.

Puede proporcionar o cancelar permisos. Permisos cancelados para usuarios y grupos de permisos emitidos más prioritarios.

Si el usuario está prohibido acceder al objeto, no recibirá acceso a él, incluso como miembro del grupo plenipotenciario.

Asignación de permisos de Active Directory

Configure los permisos de objetos y sus atributos permite la herramienta. Directorio activo de usuarios y computadoras. Nombrar

las soluciones también pueden estar en la pestaña. Seguridadel cuadro de diálogo Propiedades del objeto.

Para cumplir con la mayoría de las tareas administrativas, hay suficientes permisos estándar.

Alexander Emelyanov

Administrar cuentas en el dominio de Active Directory

Una de las tareas más importantes del administrador es administrar cuentas locales y de dominio: auditoría, cotización y delimitación de derechos de usuario según sus necesidades y políticas de la empresa. ¿Qué puede ofrecer Active Directory en este sentido?

En la continuación del ciclo de ciclo de Active Directory hoy, hablaremos sobre el enlace central en el proceso de administración: administrar los datos de contabilidad de los usuarios dentro del dominio. Nosotros lo consideraremos:

• creando cuentas y gestión de ellos;
• tipos de perfiles de usuarios y su uso;
• grupos de seguridad en dominios de anuncios y sus combinaciones.

En última instancia, puede aplicar estos materiales para construir una infraestructura de trabajo o refinamiento de un existente que cumplirá con sus requisitos.

De cara al futuro, diré que el tema está estrechamente relacionado con la aplicación de políticas de grupo para fines administrativos. Pero debido a la inmensidad del material dedicado a ellos, se divulgará dentro del siguiente artículo.

Conocimiento con Active Directory - Usuarios y Computadoras

Después de haber instalado su primer controlador en el dominio (en realidad, organiza un dominio), aparecen cinco elementos nuevos en la sección de administración (ver Fig. 1).

Para administrar los objetos de anuncios, se utiliza Active Directory: usuarios y computadoras (usuarios y computadoras ADUC - AD, consulte Fig. 2), que también se pueden llamar a través del menú "Ejecutar" por medio de DSA.MSC.

Al usar ADUC, puede crear y eliminar usuarios, asignar los scripts de inicio de sesión para tener en cuenta, administrar la membresía en grupos y las políticas de grupo.

También existe la capacidad de administrar objetos publicitarios sin acceder directamente al servidor. Proporciona el paquete adminpak.msi, ubicado en el directorio% System_Drive% \\ Windows \\ System32. Al encenderlo en su automóvil y se abrió los derechos del administrador del dominio (si no hubiera), puede administrar el dominio.

Al abrir la ADUC, veremos la rama de nuestro dominio que contenía cinco contenedores y unidades organizativas.

• Incorporado.. Esto contiene grupos locales incorporados que están en cualquier máquina de servidor, incluidos los controladores de dominio.
• Usuarios y computadoras. Estos son contenedores en los que, por defecto, los grupos y cuentas de computadoras, al instalar el sistema a través de Windows NT. Pero para crear y almacenar nuevas cuentas, no es necesario usar solo estos contenedores, puede crear un usuario incluso en un contenedor de dominio. Cuando enciende la computadora en el dominio, aparece en el contenedor de computadoras.
• Controladores de dominio.. Esta unidad organizativa (OU, unidad organizativa), que contiene los controladores de dominio predeterminados. Al crear un nuevo controlador, aparece aquí.
• FORTRIALSECURITYPRINGIPALIBLES.. Este es el contenedor predeterminado para objetos de dominios de confianza externos.

Es importante recordar que las políticas de grupo están vinculadas exclusivamente al dominio, OU o sitio. Esto debe tenerse en cuenta al crear una jerarquía administrativa de su dominio.

Entramos en una computadora en el dominio.

El procedimiento se realiza directamente en la máquina local que queremos conectar.

Elija "Mi computadora -\u003e Propiedades -\u003e Nombre de la computadora," Presione el botón "Cambiar" y en el menú "Miembro", seleccione "Dominio". Ingresamos el nombre de dominio en el que queremos agregar nuestra computadora, y luego demuestremos que tenemos derechos para agregar estaciones de trabajo al dominio ingresando los datos de autenticación del administrador de dominio.

Crear un usuario de dominio

Para crear un usuario, debe seleccionar cualquier contenedor en el que se encuentre, haga clic en él con el botón derecho del mouse y seleccione "Crear -\u003e Usuario". Se abre el asistente de creación del usuario. Aquí puede especificar una variedad de sus atributos, comenzando con los marcos de nombre de usuario y registro temporal en el dominio y finalizan con la configuración de los servicios de terminal y acceso remoto. Al finalizar el asistente, recibirá un nuevo usuario de dominio.

Cabe señalar que en el proceso de creación de un usuario, el sistema puede "jurar" en la complejidad insuficiente de la contraseña o su brevedad. Puede mitigar los requisitos abriendo la Política de seguridad del dominio (configuración de seguridad de dominio predeterminada) y luego "Configuración de seguridad -\u003e Políticas de cuenta -\u003e Política de contraseña.

Permita que hemos creado el usuario Ivan Ivanov en el contenedor de usuarios (nombre de inicio de sesión del usuario: [Correo electrónico protegido]). Si en los sistemas NT 4, solo el papel de la decoración jugó, luego en AD es parte del nombre en formato LDAP, que se ve completamente así:

cn \u003d "Ivan Ivanov", CN \u003d "Usuarios", DC \u003d "HQ", DC \u003d "LOCAL"

AQUÍ CN - Nombre del contenedor, CC - Componente de dominio. Las descripciones de los objetos LDAP se utilizan para ejecutar scripts de WSH (hosts de script de Windows) o para programas utilizando el protocolo LDAP para comunicarse con Active Directory.

Para ingresar al dominio, Ivan Ivanov tendrá que usar el nombre en formato UPN (Nombre principal universal): [Correo electrónico protegido] También en los dominios AD quedará claro para escribir el nombre en el formato antiguo NT 4 (antes de Win2000), en nuestro caso HQ \\ Ivanov.

Al crear una cuenta de usuario, se le asigna automáticamente el identificador de seguridad (SID, el identificador de seguridad) es un número único por el cual el sistema y define a los usuarios. Es muy importante entender, ya que cuando elimina una cuenta, su SID se elimina y nunca se usa nuevamente. Y cada nueva cuenta tendrá su nuevo SID, por lo que no podrá obtener los derechos y los privilegios de los viejos.

Se puede mover una cuenta a otro contenedor o OU, deshabilitar o, por el contrario, habilitar, copiar o intercambiar contraseña. La copia se usa a menudo para crear múltiples usuarios con los mismos parámetros.

Entorno de trabajo del usuario.

Las credenciales almacenadas centralmente en el servidor permiten a los usuarios identificarse inequívocamente en el dominio y recibir derechos relevantes y acceso al entorno de trabajo. Todo os Las familias de Windows NT se utilizan para crear un entorno de trabajo en el perfil de usuario de la máquina cliente.

Perfil local

Considere los componentes principales del perfil de usuario:

• Partición de registro correspondiente a un usuario específico ("colmena" o "colmena").De hecho, los datos de esta línea del Registro se almacenan en el archivo NTUSER.DAT. Se encuentra en el% SystemDrive% \\ Documents and Settings \\ User_name carpeta, que contiene un perfil de usuario. Por lo tanto, cuando el usuario específico registra en el sistema en la sección de registro HKEY_CURENT_USER, la "HIVE" de NTUSER.DAT se carga desde la carpeta que contiene su perfil. Y todos los cambios en la configuración del entorno de usuario para la sesión se mantendrán en esta "colmena". El archivo ntuser.dat.log es un registro de transacciones que existe para proteger el archivo ntuser.dat. Sin embargo, para el usuario predeterminado del usuario, difícilmente puede encontrarlo porque es una plantilla. Sobre esto siguiente. El administrador tiene la capacidad de editar la "HIVE" de un usuario específico directamente desde su entorno de trabajo. Para hacer esto, utilizando el Editor del Registro de Regedit32, debe cargar "HIVE" en la sección HKEY_USERS, y luego, después de realizar cambios para descargarlo.
• Carpetas sistema de archivosque contiene archivos de configuración personalizada. Se encuentran en un catálogo especial% SystemDrive% \\ Documents and Settings \\ user_name, donde User_name es el nombre del usuario iniciado sesión. Se almacena aquí los elementos del escritorio, los elementos del inicio, los documentos, etc.

Si el usuario primero ingresa al sistema, sucede lo siguiente:

1. El sistema comprueba si existe el perfil local de este usuario.
2. Lo encontré, el sistema se refiere al controlador de dominio en la búsqueda de un perfil de dominio predeterminado, que debe ubicarse en la carpeta de usuario predeterminada en el recurso compartido de Netlogon; Si el sistema ha detectado este perfil, se copia localmente a la máquina en la carpeta% SystemDrive% \\ Documents and Configuración con el nombre de usuario, de lo contrario, se copia del sistema local% SystemDrive% \\ documentos y configuraciones \\ usuario predeterminado.
3. La sesión de registro del usuario "Hive" se carga en la sección de registro HKEY_CURRENT_USER.
4. Al salir del sistema, todos los cambios se guardan localmente.

En última instancia, el entorno de trabajo del usuario es la combinación de su perfil de trabajo y el perfil de todos los usuarios, que contiene comunes a todos los usuarios de esta máquina de configuración.

Ahora, algunas palabras sobre la creación de un perfil predeterminado para un dominio. Cree un perfil ficticio en su automóvil, configúrelo de acuerdo con sus necesidades con los requisitos de política corporativa. Luego, deje el sistema y vuelva como administrador de dominio. En el recurso Shared Netlogon Server, cree una carpeta de usuario predeterminada. A continuación, usando la pestaña Perfiles de usuario en el applet del sistema (consulte la Fig. 3) Copie su perfil a esta carpeta y proporcione los derechos para usar el grupo de usuarios de dominio o cualquier otro grupo adecuado seguridad. Todo, se crea el perfil predeterminado para su dominio.

Perfil transferido

Active Directory Como tecnología flexible y escalable le permite trabajar en un entorno de su empresa con perfiles movidos que veremos más.

Al mismo tiempo, será apropiado informar sobre la redirección de las carpetas como una de las características de la tecnología IntelliMirror para garantizar la tolerancia a la falla y el almacenamiento centralizado de los datos de los usuarios.

Los perfiles transferidos se almacenan en el servidor. El camino a ellos se especifica en la configuración del usuario del dominio (ver Fig. 4).

Si lo desea, puede especificar los perfiles móviles para varios usuarios al mismo tiempo, resaltar múltiples usuarios, y en las propiedades de la pestaña Perfil, especifique% username% en lugar de la carpeta con el nombre de usuario (ver Fig. 5).

El proceso del primer inicio de sesión en el sistema que tiene un perfil conmovido, similar a uno descrito anteriormente para los locales, para algunas excepciones.

Primero, dado que se especifica la ruta al perfil del objeto del usuario, el sistema verifica la presencia de una copia local en caché del perfil en automóvil, luego todo como se describe.

En segundo lugar, una vez finalizado, todos los cambios se copian al servidor, y si no se especifican las políticas de grupo para eliminar una copia local, almacenada en esta máquina. Si el usuario ya ha tenido una copia de perfil local, los servidores y las copias locales del perfil se comparan y las combinan.

Tecnología IntelliMirror en sistemas Windows. versiones recientes Le permite redirigir ciertas carpetas de usuario, como "Mis documentos", "Mis imágenes", etc., en un recurso de red.

Por lo tanto, para el usuario, todos los cambios realizados son absolutamente transparentes. Al guardar documentos a la carpeta "Mis documentos", que se redirigirá deliberadamente al recurso de red, ni siquiera sospechará que todo se guarde en el servidor.

Puede configurar la redirección como manualmente para cada usuario y usar políticas de grupo.

En el primer caso, debe hacer clic en el icono "Mis documentos" en el escritorio o en el menú "Inicio" con el botón derecho del mouse y seleccione Propiedades. Además, todo es extremadamente simple.

En el segundo caso, debe abrir la Política de grupo OU o el dominio para el cual queremos aplicar la redirección, y divulgaremos la jerarquía de "Configuración del usuario" -\u003e Configuración de Windows "(ver Fig. 6). A continuación, la redirección está configurada o para todos los usuarios o para ciertos grupos de seguridad OU o un dominio al que se aplicará esta Política de grupo.

Usando la redirección de carpetas para trabajar con los perfiles de usuario móviles, puede lograr, por ejemplo, para reducir el tiempo de carga del perfil. Esto se proporciona en que el perfil en movimiento siempre se cargue desde el servidor sin usar una copia local.

La historia de la tecnología de redirección de carpetas estaría incompleta sin mencionar archivos independientes. Permiten a los usuarios trabajar con documentos incluso en ausencia de una conexión de red. La sincronización con las copias de servidor de los documentos ocurre cuando la computadora está junto a la red. Dicho esquema de organización será útil, por ejemplo, los usuarios de computadoras portátiles que trabajan tanto dentro de la red local como en el hogar.

Las desventajas de los perfiles en movimiento incluyen lo siguiente:

• puede haber una situación en la que, por ejemplo, en el escritorio del usuario, habrá etiquetas de algunos programas, y en otra máquina, donde notará al propietario de un perfil en movimiento de dichos programas, respectivamente, parte de los accesos directos no trabaja;
• muchos usuarios tienen la costumbre de almacenar documentos, así como fotos e incluso videos en el escritorio, como resultado, al cargar un perfil móvil desde el servidor, se crea un tráfico adicional cada vez, y el perfil en sí está cargado durante mucho tiempo hora; Para resolver el problema, use los permisos de NTFS para limitar la preservación de "basura" en el escritorio;
• cada vez que el usuario ingresa al sistema, se crea un perfil local (más precisamente, el perfil del servidor se copia localmente), y si las máquinas de trabajo cambian, entonces cada una de ellas sigue siendo dicha "basura"; Esto se puede evitar configurando múltiples políticas de grupo ("Configuración de computadora -\u003e Plantillas administrativas -\u003e Sistema -\u003e Perfiles de usuario", "Eliminar copias en caché de perfiles de roaming").

Introducción de un usuario existente en el dominio.

A menudo, cuando el servicio de directorio se implementa en la red ya existente sobre la base de los grupos de trabajo, el problema de introducir un usuario al dominio sin perder la configuración de su medio de trabajo. Esto se puede lograr utilizando perfiles en movimiento.

Cree en un recurso de red (por ejemplo, perfiles) en la carpeta del servidor con el nombre de usuario y configure un permiso de escritura para el grupo de todos. Deje que se llame a HQUSER, y el camino completo para que se vea así: \\\\ Server \\ Perfiles \\ HqUser.

Cree un usuario de dominio que coincida con el usuario de su red local y, como ruta al perfil, especifique \\\\ Server \\ Perfiles \\ HqUser.

En una computadora que contiene el perfil local de nuestro usuario, debe ingresar la cuenta de administrador y usar la pestaña Perfiles de usuario del applet del sistema, cópielo en la carpeta \\\\ Server \\ Perfiles \\ HQUSER.

Es fácil entender que la próxima vez que ingrese al sistema en una nueva cuenta de dominio, nuestro usuario cargará su perfil de trabajo del servidor, y el administrador permanecerá solo para decidir si dejar este perfil o hacerlo local.

Dejar

Muy a menudo, los usuarios están descargando información innecesaria. discos de red. Para evitar solicitudes permanentes para limpiar sus carpetas personales de basura innecesaria (por alguna razón, siempre resulta ser necesaria), puede usar el mecanismo de cuotas. Comenzando con Windows 2000 se puede hacer medios estándar Sobre los volúmenes de NTFS.

Para habilitar la cuota y el mecanismo de configuración, debe ir a las propiedades de volumen local y abrir la pestaña Cuota (cuota) (ver Fig. 7).

También puede ver los datos en el espacio en disco ocupado y configurar las cuotas por separado para cada usuario (ver Fig. 8). El sistema calcula el espacio en disco ocupado según los datos del propietario de los objetos, resumiendo la cantidad de archivos que le pertenecen a ella y las carpetas.

Grupos de usuarios en anuncio

Gestión de usuarios dentro del dominio: la tarea es simple. Pero cuando necesita configurar el acceso a ciertos recursos para varias docenas (o cientos) de los usuarios, puede irse mucho tiempo para la distribución de los derechos de acceso.

Y si es necesario delimitar sutilmente los derechos a los participantes de varios dominios dentro del árbol o bosque, la tarea de las tareas de la teoría de los conjuntos surge ante el administrador. El uso de grupos llega al rescate.

La característica principal de los grupos encontrados dentro del dominio se proporcionó en el último artículo sobre la arquitectura del servicio de directorio.

Permítanme recordarle que los grupos de dominios locales pueden incluir a los usuarios de su dominio y otros dominios en el bosque, pero su área se limita al dominio al que pertenece.

Los grupos globales pueden incluir solo usuarios de su dominio, pero existe la posibilidad de usarlos para proporcionar acceso a los recursos tanto dentro de su propio dominio y otro en el bosque.

Los grupos universales, correspondientes a su nombre, pueden contener usuarios de cualquier dominio y también se pueden usar para proporcionar acceso dentro de todo el bosque. No importa si se creará el grupo Universal Group, el único, vale la pena considerar que cuando se mueve, los derechos de acceso se perderán y deberán reasignar nuevamente.

Para comprender los principios anteriores y básicos de grupos de grupos descritos anteriormente, considere un ejemplo. Tengamos un bosque que contenga dos hq.Local y SD.Local Dominio (cuál de ellos es raíz en este caso, no importa). Cada uno de los dominios contiene recursos a qué acceso, y deben proporcionarse los usuarios (ver Fig. 9).

De la fig. 9 Se puede ver que todos los usuarios en el bosque (líneas verdes y rojas) deben tener acceso a los documentos y recursos de distribo, por lo que podemos crear un grupo universal que contiene usuarios de ambos dominios y usarlo al especificar permisos para acceder a ambos recursos. O podemos crear dos grupos globales en cada dominio que los usuarios contendrán solo su dominio, e incluyénlos en un grupo universal. Cualquiera de estos grupos globales también se puede utilizar para asignar derechos.

El acceso al directorio base debe tener usuarios solo desde el dominio HQ.Local (líneas azules), por lo que incluiremos en el grupo de dominio local, y este grupo proporcionará acceso.

El catálogo DISTRIB tendrá el derecho de usar tanto a los miembros del dominio HQ.Local como a los miembros del dominio SD.Local (líneas naranjas en la FIG. 9). Por lo tanto, los usuarios del administrador y el salario pueden agregar HQ.Local al grupo de dominios globales, y luego agregar este grupo al grupo de dominios SD.Local local junto con el usuario de TI. Luego, este grupo local y proporciona acceso al recurso DISTRIB.

Ahora veremos más la anidación de estos grupos y consideraremos otro tipo de grupos de dominios locales incorporados en grupo.

La tabla muestra qué grupos a los que pueden estar incrustados. Aquí, los horizontales se encuentran grupos en los que se invierten los grupos ubicados verticalmente. Además, significa que se puede invertir un tipo de grupos en otro, no hay menos.

En un recurso en Internet en los exámenes de certificación de Microsoft, vi una mención de tal fórmula - AgudLP, lo que significa: Las cuentas se colocan en grupos globales (global), que se colocan en universal (universal), que se colocan en local. Grupos de dominio (dominio local) a los que se aplican permisos). Esta fórmula describe plenamente la posibilidad de anidamiento. Se debe agregar que todas estas especies se pueden incrustar en grupos locales de un solo automóvil (dominios locales exclusivamente dentro de su dominio).

Grupo de dominio anidando

Anidación	Grupos locales	Grupos globales	Grupos universales
Cuenta
Grupos locales	+ (con la excepción de los grupos locales incorporados y solo dentro de su propio dominio)
Grupos globales		+ (solo dentro de su propio dominio)
Grupos universales

Los grupos de dominio local incorporados se encuentran en un recipiente incorporado y son en realidad grupos de máquinas locales, pero solo para controladores de dominio. Y, a diferencia de los grupos de dominios locales, el contenedor de los usuarios no se puede mover a otras unidades organizativas.

La comprensión correcta del proceso de administración de la cuenta le permitirá crear un entorno de trabajo claramente configurado de la empresa, garantizar la flexibilidad de la administración y, lo que es más importante, la tolerancia a la falla y la seguridad del dominio. En el siguiente artículo hablaremos de políticos grupales Como herramienta para crear un entorno personalizado.

solicitud

Matices de autenticación de dominio

Cuando utilice perfiles locales, puede ocurrir una situación cuando el usuario del dominio intenta ingresar puesto de trabajoLo que tiene su perfil local, pero por alguna razón no tiene acceso al controlador. Sorprendentemente, el usuario pasa con éxito la autenticación y se le permitirá trabajar.

Dicha situación surge debido al almacenamiento en caché del mandato del usuario y se puede corregir haciendo cambios en el registro. Para hacer esto, en el HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Software \\ Microsoft \\ Windows NT \\ Actual Version \\ Winlogon (si no hay) Entrada con el nombre CachedlogonCount, el tipo de datos REG_DWORD y establece su valor a cero. Se puede lograr un resultado similar utilizando políticas de grupo.

1. Emelyanov A. Principios Construcción de dominios Dominios Active Directory, // " Administrador de sistema", №2, 2007 - P. 38-43.

En contacto con