Gestion de Active Directory à l'aide de Powershell. Le terme "relation de confiance". Objets de contrôle Active Directory

Leçon 7. Administrer Active Directory.

Le processus d'administration Active Directory consiste à gérer:

• domaines Active Directory;
• structure du répertoire de domaine;
• objets de domaine (utilisateurs, contacts, ordinateurs, groupes, imprimantes, etc.);
• sites et réseaux Active Directory;
• réplication des données.

Toutes ces tâches sont résolues à l'aide de trois consoles de contrôle installées dans le processus. installation active Répertoire sur le contrôleur de domaine:

• Active Directory - Domaines et confiance
• Active Directory - Utilisateurs et ordinateurs
• Active Directory - Sites et services

Ces consoles peuvent être installées sur d'autres domaines d'ordinateurs dans le cadre du package utilitaire administratif.

Description des objets Active Directory.

Toutes les consoles de gestion Active Directory utilisent un seul ensemble d'icônes pour afficher les objets de répertoire. Vous trouverez ci-dessous tous les objets de base Active Directory et les icônes correspondantes. Ces informations vous aideront plus facilement à naviguer dans le répertoire Active Directory.

Active Directory.

Représente le répertoire Active Directory dans son ensemble. Dans les outils de contrôle, il n'est pratiquement pas trouvé, à l'exception de la recherche et de la sélection d'objets.

Représente le domaine Windows. Vous permet de gérer les paramètres du domaine global

Conteneur, dossier

Représente un simple objet de conteneur. Ces objets ne peuvent être créés que par le système d'exploitation et sont généralement générés lorsque Active Directory est installée.

Division organisationnelle

Représente op. Cet objet de conteneur est utilisé pour construire une hiérarchie de conteneurs contenant d'autres objets.

Utilisateur

Représente un compte d'utilisateur. L'objet contient un grand nombre de Attributs décrivant l'utilisateur

Représente un utilisateur - pas un membre du domaine. Les contacts sont utilisés pour stocker des informations sur les utilisateurs externes du répertoire d'informations, ne sont pas des informations d'identification et ne permettent pas aux utilisateurs de s'inscrire dans le domaine.

Représente un groupe d'utilisateurs et est généralement utilisé pour simplifier la gestion des permis et des privilèges

Un ordinateur

Représente un seul ordinateur dans réseau local. Pour les ordinateurs sous contrôle de Windows NT, 2000 et les versions ultérieures de Windows sont un compte informatique. L'objet contient des informations de base sur l'ordinateur et vous permet de la gérer.

Contrôleur de domaine

Représente un contrôleur de domaine Windows distinct. Dans le composant logiciel enfichable Active Directory, les contrôleurs de domaine des utilisateurs et des ordinateurs sont affichés comme étant les mêmes icônes que les ordinateurs ordinaires. L'icône spécifiée est utilisée pour afficher les contrôleurs de domaine dans les sites et services Active Directory. Vous permet de gérer les paramètres du contrôleur de domaine

Représente une imprimante réseau. L'objet est une référence à l'imprimante fournie dans accès général. Les objets de ce type peuvent être ajoutés au répertoire comme manuellement et automatiquement. L'ajout manuelle n'est possible que pour les imprimantes connectées aux ordinateurs fonctionnant plus versions précocesque Windows 2000

Ressource partagée

Représente un dossier commun. L'objet est un lien vers la ressource réseau partagée et ne contient aucune donnée.

Paramètres de licence

Représente les paramètres de licence globaux du site. Permet de gérer de manière centralisée de gérer des licences pour les produits logiciels et leur réplication sur le site.

Politique de domaine

Représente une politique de domaine. Vous permet de configurer les stratégies de niveau de domaine

Politique de contrôleur de domaine

Représente l'objet de stratégie de contrôleur de domaine. Vous permet de configurer les paramètres de stratégie pour tous les contrôleurs de domaine

Stratégie de groupe

Représente un objet de stratégie de groupe arbitraire. Vous permet de gérer des stratégies pour des objets de ce conteneur auquel

Représente un site active Directory séparé. Vous permet de contrôler les paramètres informatiques. Contient des liens vers des objets de contrôleurs de domaine, de liens de sites, de paramètres de site

Composé

Représente une connexion entre les contrôleurs de domaine sur le site. Vous permet de contrôler les paramètres de la topologie et de la réplication entre les contrôleurs de domaine sur le site.

Connexion du site

Représente un lien distinct entre les sites. Vous permet de contrôler la topologie et les paramètres de la réplication de la ligne de croix

Paramètres du site

Représente l'objet de configuration du site ou le contrôleur de domaine sur le site. Vous permet de gérer les paramètres de la réplication de l'ensemble du site ou des paramètres de l'interaction du contrôleur de domaine avec le site.

Représente un sous-réseau séparé associé à un site spécifique. Vous permet de spécifier les limites du réseau IP

Icône	Un objet	La description

Active Directory (AD) est les programmes de service développés pour le système d'exploitation. Serveur Microsoft. A l'origine a été créé comme algorithme d'accès léger aux répertoires d'utilisateurs. De la version Windows Server 2008 Il y avait une intégration avec les services d'autorisation.

Il permet de suivre la stratégie de groupe en utilisant le même type de paramètres et sur tous les PC contrôlés à l'aide de System Center Configuration Manager.

Si des mots simples pour les débutants sont le rôle d'un serveur qui vous permet de gérer tous les accès et autorisations sur le réseau local à partir d'un endroit.

Fonctions et but

Microsoft Active Directory - (appelé Annuaire) Paquet de fonds pour effectuer des manipulations avec des utilisateurs et des données réseau. le but principal Création consiste à faciliter le travail des administrateurs système dans de vastes réseaux.

Les catalogues contiennent différentes informations relatives aux utilisateurs, aux groupes, aux périphériques réseau, aux ressources de fichiers - dans un mot, des objets. Par exemple, les attributs d'utilisateur stockés dans le répertoire doivent être les suivants: adresse, connexion, mot de passe, numéro de téléphone mobile, etc. Le répertoire est utilisé comme points d'authentificationavec lequel vous pouvez découvrir information nécessaire Tout sur

Concepts de base survenant pendant le travail

Il existe un certain nombre de concepts spécialisés utilisés lorsque vous travaillez avec AD:

1. Le serveur est un ordinateur contenant toutes les données.
2. Le contrôleur est un serveur avec le rôle de la publicité, qui traite des demandes de personnes utilisant un domaine.
3. Domaine AD est un ensemble d'appareils unis sous un nom unique qui utilise simultanément la base de données de la liste commune.
4. Data Warehouse fait partie du répertoire chargé de stocker et d'extraire des données à partir de n'importe quel contrôleur de domaine.

Comment travailler Active Directory

Les principes de base du travail sont les suivants:

• Autorisationavec lequel il apparaît la possibilité d'utiliser le PC dans le réseau simplement en entrant mot de passe personnel. Dans le même temps, toutes les informations du compte sont reportées.
• Sécurité. Active Directory contient des fonctions de reconnaissance des utilisateurs. Pour tout objet réseau, vous pouvez à distance, à partir d'un périphérique, à mettre les droits appropriés qui dépendent des catégories et des utilisateurs spécifiques.
• L'administration du réseau D'un point. Tout en travaillant avec le directeur des actifs, Sisadmin n'a pas besoin de ré-configurer l'ensemble du PC si vous devez modifier les droits d'accès, par exemple à l'imprimante. Les changements sont effectués à distance et à l'échelle mondiale.
• Plein intégration avec DNS.. Avec son aide, la confusion ne se produit pas dans AD, tous les appareils sont indiqués de la même manière que dans le Web mondial.
• Grande échelle. L'ensemble de serveurs est capable de surveiller un Active Directory.
• Rechercher Il est effectué selon divers paramètres, tels que le nom de l'ordinateur, la connexion.

Objets et attributs

L'objet est un ensemble d'attributs unis sous son propre nom, qui est une ressource réseau.

Attribut - Caractéristiques de l'objet dans le répertoire. Par exemple, cela inclut le nom d'utilisateur, son identifiant. Mais les attributs du compte PC peuvent être le nom de cet ordinateur et sa description.

"Officier" - un objet qui a les attributs "Nom complet", "Position" et "Tabn".

Nom du conteneur et LDAP

Conteneur - type d'objets pouvant composé d'autres objets. Domaine, par exemple, peut inclure des objets de compte.

Leur rendez-vous principal - commander des objets Par type de signes. Le plus souvent, les conteneurs sont utilisés pour collecter des objets avec les mêmes attributs.

Presque tous les conteneurs affichent un ensemble d'objets et des ressources sont affichées par un objet Active Directory unique. L'un des principaux types de conteneurs publicitaires est un module d'organisation ou une unité d'organisation. Les objets placés dans ce conteneur appartiennent uniquement au domaine dans lequel ils sont créés.

Protocole d'accès au répertoire léger (protocole d'accès à l'annuaire léger, LDAP) est l'algorithme de connexion TCP / IP principal. Il est conçu pour réduire le nombre de nuances tout en accédant aux services de catalogue. En outre, dans les actions installées LDAP utilisées pour demander et modifier des données de répertoire.

Arbre et site

L'arbre de domaine est une structure, un ensemble de domaines ayant régime général et la configuration qui forme l'espace de nom global et sont associés à des relations de confiance.

La forêt de domaine est une totalité des arbres associés entre eux.

Le site est un ensemble d'appareils dans des sous-réseaux IP représentant un modèle de réseau physique dont la planification est faite quelle que soit la représentation logique de sa construction. Active Directory a la possibilité de créer un nombre de sites N-NUMBER ou d'unir N-Number Domaines sous un seul site.

Installation et configuration de Active Directory

Nous nous tournons maintenant directement vers la configuration Active Directory sur exemple de fenêtres Server 2008 (sur d'autres versions de la procédure identique):

Appuyez sur le bouton "OK". Il convient de noter que de telles valeurs ne sont pas nécessaires. Vous pouvez utiliser l'adresse IP et le DNS de votre réseau.

• Ensuite, vous devez accéder au menu "Démarrer", sélectionner "Administration" et "".
  
• Aller au "rôle", sélectionnez le champ " Ajouter un rôle”.
  
• Sélectionnez "Services de domaine de domaine Active Directory" deux fois "Suivant", et après "Install".
  
• Attendez l'installation.
  
• Ouvrez le menu "Démarrer" - " Effectuer". Dans le champ, entrez dcpromo.exe.
  
• Cliquez sur Suivant".
  
• Sélectionnez l'élément " Créer nouveau domaine Dans la nouvelle forêt"Et appuyez à nouveau sur" Suivant ".
  
• Dans la fenêtre suivante, entrez le nom, cliquez sur "Suivant".
  
• Choisir le mode de compatibilité (Windows Server 2008).
  
• Dans la fenêtre suivante, laissez tout par défaut.
  
• Cours fenêtre de configurationDNS.. Comme il n'a pas été utilisé sur le serveur avant, la délégation n'a pas été créée.
  
• Sélectionnez un répertoire pour l'installation.
  
• Après cette étape, vous devez demander mot de passe d'administration.

Pour la fiabilité, le mot de passe doit être conforme à ces exigences:

Une fois l'annonce terminée, le processus de configuration des composants, vous devez redémarrer le serveur.

La configuration est complète, équipée et que le rôle est défini sur le système. Vous pouvez installer une annonce uniquement sur la famille Windows Server, les versions régulières, telles que 7 ou 10, ne peuvent être installées que pour installer la console de commande.

Administration dans Active Directory

Par défaut, dans Windows Server, la console Utilisateurs et ordinateurs Active Directory fonctionne avec un domaine auquel appartient l'ordinateur. Vous pouvez accéder aux objets d'ordinateurs et aux utilisateurs de ce domaine via l'arborescence de la console ou de vous connecter à un autre contrôleur.

Les moyens de la même console vous permettent de voir options supplémentaires Objets et recherchez-les, vous pouvez créer de nouveaux utilisateurs, groupes et passer de l'autorisation.

Au fait, il y a 2 types de groupes Dans les répertoires d'actifs - Sécurité et distribution. Les groupes de sécurité sont responsables de la délimitation des droits d'accès aux objets, ils peuvent être utilisés comme groupes de distribution.

Les groupes de distribution ne peuvent pas distinguer les droits, mais sont principalement utilisés pour distribuer des messages sur le réseau.

Quelle est la délégation annonce

La délégation elle-même est transfert de la partie des autorisations et du contrôle de l'objet parent un autre côté responsable.

On sait que chaque organisation dispose de plusieurs administrateurs système à son siège. Différentes tâches Doit être nue sur différents épaules. Afin d'appliquer des changements, il est nécessaire d'avoir des droits et des autorisations divisées en standard et spécial. Spécial - applicable à un objet spécifique et la norme est un ensemble comprenant des autorisations existantes qui rendent des fonctions individuelles disponibles ou inaccessibles.

Installation de relations de confiance

En annonce, il existe deux types de relations de confiance: "unidirectionnel" et "bidirectionnelle". Dans le premier cas, un domaine fait confiance à un autre, mais pas le contraire, respectivement, le premier a accès aux ressources de la seconde et la seconde n'a pas accès. Dans la deuxième forme de confiance "mutuelle". Il existe également des relations "sortantes" et "entrantes". Dans le résultat - le premier domaine fait confiance au second, permettant ainsi aux utilisateurs d'utiliser les ressources du premier.

Lors de l'installation, des procédures doivent être effectuées:

• Vérifier Liens réseau entre les kotrollars.
• Vérifiez les paramètres.
• Régler Nom Résolution pour les domaines externes.
• Créer une communication du domaine de confiance.
• Créez une connexion du contrôleur à laquelle la confiance est adressée.
• Vérifiez la relation à sens unique créée.
• Si un navabilité se pose Dans l'établissement de relations bilatérales - pour faire une installation.

Catalogue global

Ceci est un contrôleur de domaine qui stocke des copies de tous les objets forestiers. Il offre aux utilisateurs et aux programmes la possibilité de rechercher des objets dans n'importe quel domaine de la forêt actuelle avec outils de détection d'attributinclus dans le répertoire global.

Le catalogue global (GC) comprend un ensemble limité d'attributs pour chaque objet forestier dans chaque domaine. Données qu'il reçoit à partir de toutes les partitions du catalogue de domaine dans la forêt, elles sont copiées à l'aide du processus de réplication Standard Active Directory Service.

Le schéma détermine si l'attribut sera copié. Il y a une opportunité configuration caractéristiques supplémentaires Cela sera créé dans le répertoire global à l'aide du schéma Active Directory. Pour ajouter un attribut à un répertoire global, vous devez sélectionner l'attribut de réplication et utiliser l'option "Copier". Après cela, la réplication des attributs sera créée dans le répertoire global. Valeur des paramètres d'attribut ismemberfpartialattributest. sera la vérité.

Afin de emplacement Répertoire global, vous devez entrer dans l'invite de commande:

DSQuery Server -sgc.

Réplication des données dans Active Directory

La réplication est une procédure de copie, qui est effectuée si vous devez stocker les mêmes informations topiques sur tout contrôleur.

Cela produit sans la participation de l'opérateur. Il existe de tels types de répliques:

• Les répliques de données sont créées à partir de tous les domaines existants.
• Répliques de données de données. Étant donné que le schéma de données est un pour tous les objets forestiers d'Active Directory, ses répliques sont stockées sur tous les domaines.
• Données de configuration. Montre la construction de copies entre contrôleurs. Les détails sont distribués à tous les domaines forestiers.

Les principaux types de répliques sont intracelain et intersloval.

Dans le premier cas, après des modifications, le système attend, notifie ensuite le partenaire de créer une réplique pour compléter les modifications. Même en l'absence de changement, le processus de réplication se produit après une certaine période de temps automatiquement. Après avoir appliqué des modifications critiques dans les catalogues, la réplication se produit immédiatement.

Procédure de réplication entre les nœuds se produit dans les intervalles Charge réseau minimale, elle évite la perte d'informations.

Dans le numéro de novembre de l'ordinateur, nous vous connaissons avec des opportunités clés Windows PowerShell. - Langue de ligne et scénario de nouvelle commande microsoft.. Aujourd'hui, nous examinerons l'utilisation de cet environnement pour administrer le répertoire d'entreprise de Active Directory (AD).

Brièvement sur PowerShell

Windows PowerShell est une nouvelle ligne de commande et une langue de script de Microsoft. PowerShell est un composant de Windows Server 2008 (il vous suffit de le sélectionner dans Server Manager) et est disponible au téléchargement à partir de la page www.microsoft.com/powershell pour Windows XP, Windows Server 2003 et Windows Vista.

Si vous ne connaissez pas Windows PowerShell, nous vous recommandons d'abord lire l'article »Windows PowerShell. Brièvement sur la principale chose. »Dans ComputerPress No. 11'2007. Dans cette publication, nous nous limiterons à une brève répétition des bases et nous allons passer immédiatement au sujet principal de l'article.

Ainsi, les commandes PowerShell s'appellent des cmdlets (cmdlet) et se composent d'un verbe (par exemple, d'obtenir, de définir, de nouvelles, de supprimer, de déplacer, de vous connecter) et d'un nom dans un seul numéro décrivant un objet d'action. Il y a un trait d'union entre eux. Il s'avère quelque chose comme: get-processus, service d'arrêt, etc.

En règle générale, les équipes sont associées à un convoyeur désigné par une caractéristique verticale (|). Ce signe signifie que toute la collection d'objets de la commande précédente est transmise à la suivante.

Une telle orientation objet est très pratique car elle facilite l'utilisation d'objets et relier les équipes ensemble. Dans cet article, nous indiquerons comment cette approche facilite la gestion du répertoire d'entreprise basée sur Active Directory.

Façons de travailler avec Active Directory

Le répertoire Active Directory est la base des réseaux d'entreprise sur base de données Windows Server 2000, 2003 et 2008. Il est là que tout est stocké comptes Utilisateurs, informations sur les groupes, ordinateurs de réseau, boîtes de courrier électronique et de nombreuses autres choses.

Toutes ces richesses doivent être gérées, pour lesquelles la boîte à outils correspondante, qui fait partie de Windows Server, est destinée, mais c'est PowerShell qui facilite l'automatiser des actions de masse destinées à un grand nombre d'objets.

Il existe trois façons principales de travailler avec Active Directory dans Windows PowerShell:

• utilisation de l'interface d'interfaces de service Active Directory (ADSI), cette méthode est la plus difficile, mais fonctionne dans n'importe quelle installation PowerShell et ne nécessite pas de modules supplémentaires. Il est également le plus proche de la méthode de contrôle utilisée dans la langue de scénario VBScript;
• utilisation du fournisseur Active Directory inclus dans l'extension PowerShell, cette méthode vous permet de connecter un répertoire sous la forme d'un disque sur votre ordinateur et de la naviguer à l'aide des commandes appropriées: Dir, CD, etc. Cette méthode nécessite d'installer un module supplémentaire de CodePlex;
• À l'aide des CMDlets Active Directory, il s'agit du moyen le plus pratique de manipuler les objets de répertoire, mais il nécessite également une installation supplémentaire des modules correspondants.

Adsi

Les interfaces de service Active Directory (ADSI) sont familières à tous ceux qui ont essayé d'écrire des scripts dans la langue VBScript. Dans PowerShell, cette interface est mise en œuvre à l'aide de l'adaptateur dit. Lorsque vous spécifiez des supports carrés, le nom de l'adaptateur (ADSI) et le chemin d'accès à l'objet dans le répertoire de requête LDAP (Protocole d'accès au répertoire léger - le protocole de travail avec des répertoires, qui prend en charge la fois AD), nous avons accès à un objet de le répertoire et peuvent également appeler des méthodes informatiques.

Par exemple, soyez connecté à l'un des conteneurs de répertoires et créez un nouveau compte d'utilisateur.

$ Objou \u003d "LDAP: // mydc: 389 / ou \u003d CTO, DC \u003d Employés, DC \u003d TestDomain, DC \u003d local"

Donc, maintenant, nous avons une variable $ objou contient des informations sur le conteneur (noms de variables dans PowerShell Démarrer à partir de l'icône Dollar).

Appeler la méthode Créer. Et créer un nouvel utilisateur dans le conteneur:

$ Objuser \u003d $ objou.create ("utilisateur", "cn \u003d dmitry sotnikov")

Maintenant, nous pouvons définir divers attributs:

$ objuser.put ("samaccompountname", "dsotnikov")

Enfin, nous spécifions le répertoire que ces modifications doivent être appliquées:

$ objuser.settinfo ()

Les avantages de l'utilisation de l'adaptateur ADSI sont les suivants:

• sa présence dans n'importe quel powerShell de livraison. Si vous avez installé PowerShell et qu'il y a un répertoire avec lequel vous devez travailler - vous avez tout ce dont vous avez besoin;
• appliquez une approche proche de VBScript. Si vous avez une riche expérience avec le répertoire de la langue de scénario VBScript ou à Annexes.net, vous pouvez vous sentir en toute confiance en utilisant cette approche.

Malheureusement, la méthode a des défauts:

• la difficulté est la manière la plus difficile de travailler avec le répertoire. Écrivez la voie à l'objet sous la forme d'une demande LDAP est non passionnée. Pour tout travail avec des attributs, vous devez spécifier leurs noms internes. Il est donc nécessaire de rappeler que l'attribut indiquant la ville de la ville s'appelle non pas "ville", mais "L", etc.;
• valkness - comme le montre l'exemple, l'opération la plus simple de créer un compte occupe au moins quatre lignes, y compris les opérations de service pour la connexion au conteneur et l'application de modifications. Ainsi, même des opérations relativement simples deviennent similaires à des scénarios complexes.

Fournisseur de publicité

PowerShell vous permet de représenter divers systèmes sous la forme de disques supplémentaires de l'ordinateur à l'aide des fournisseurs dites. Par exemple, la livraison PowerShell comprend un fournisseur de registre et nous pouvons passer au registre à l'aide de commandes CD et AIR préférées (pour les amateurs UNIX, l'équipe LS est également prise en charge).

Le fournisseur Active Directory n'est pas dans PowerShell, mais vous pouvez l'installer, aller au site Web du projet PowerShell Extensions - PowerShell Community Extensions: http://www.codepleplex.com/powershellcx.

Il s'agit d'un projet open source, qui ajoute un grand nombre d'équipes au système PowerShell et, en outre, définit le fournisseur d'annonces.

Utilisation du fournisseur Active Directory

Après avoir installé des extensions, tapez Get-PSDrive, nous voyons que anciens disques Disque ajouté sur l'actuel Active Directory.

Nous pouvons maintenant accéder à ce répertoire en tapant un CD et en spécifiant le nom de domaine, et dans n'importe quel conteneur, utilisez la commande DIR pour voir son contenu.

De plus, vous pouvez appeler d'autres commandes de gestion de fichiers familiers (par exemple, Del).

Les avantages sans-sommets de l'utilisation du fournisseur peuvent être attribués:

le naturel de la représentation de la structure de l'annuaire est le répertoire publicitaire par son hierarchychychychychnychychny et est similaire au système de fichiers;

la commodité de la recherche d'objets est d'appliquer CD et Dir beaucoup plus pratique que de faire une requête dans LDAP.

Les inconvénients sont frappants:

• la complexité de la modification des objets - le fournisseur aide à atteindre facilement l'objet, mais à changer quelque chose, nous devons à nouveau utiliser tous les mêmes répertoires que dans la méthode ADSI, et pour cela, vous devez utiliser à un niveau de service bas méthodes et attributs AD;
• la nécessité d'une installation supplémentaire - le fournisseur n'est pas inclus dans PowerShell, et il est nécessaire de télécharger et d'installer des extensions PowerShell;
• origine de troisième jour - Les extensions PowerShell ne sont pas un produit Microsoft. Ils sont créés par les passionnés de projet. Vous êtes libre de les utiliser, mais pour soutien technique Nous devrons contacter Microsoft, mais sur le site du projet.

AD CMDlets

Outre le fournisseur décrit ci-dessus, il existe un ensemble de cmdlets pour fonctionner avec une annonce (souvent appelé Admdlets AD CMDlets ou QAD), disponible à partir de http://www.quest.com/activerres_server/Arms.aspx.

Les camcles comprennent des verbes standard d'opérations (get-, ensemble, renommée, supprimer -, nouveau, bougeoir et les noms avec qad préfixe (-qaduser, -qadgroup, -qadcomputer, -qadObject).

Par exemple, pour créer un nouvel utilisateur de lecture, vous devrez exécuter une telle commande:

Les avantages de cette approche sont les suivants:

• facile - L'utilisation de CMDlets masques la complexité du répertoire, ses régimes et des attributs internes. Vous travaillez avec des objets d'annuaire au niveau des noms d'objet compréhensibles (utilisateur, groupe, ordinateur), leurs propriétés (nom, mot de passe, ville, service) et action sur eux (obtenez, définissez, supprimez, déplacez-vous, neuf);
• brefness and Expressivité - Comme nous l'avons vu, la plupart des actions utilisant des CMDlets peuvent être exprimées sous la forme d'opérations simples et naturelles d'une ligne.

• le besoin d'installation supplémentaire - CMDlets, comme le fournisseur, ne sont pas inclus dans PowerShell et vous devez télécharger et installer la bibliothèque appropriée;
• origine de troisième jour - CMDlets pour travailler avec AD ne sont pas un produit de Microsoft. Ils sont créés par Microsoft Partner - Quest Software. Vous êtes libre de les appliquer, mais le support technique devra contacter Microsoft, mais sur les forums Active Directory sur le site Web PowerGui.org.

À notre avis, ces inconvénients avec plus de compensation de la simplicité et de la naturalité utilisent, de sorte que exemples pratiques Sera donné en utilisant cette approche particulière.

Gestion de Active Directory.

Voyons comment PowerShell vous permet d'effectuer des opérations de base pour travailler avec l'annuaire d'annonces:

• recevoir les informations;
• changer de propriétés;
• travailler avec des groupes;
• créer de nouveaux objets;
• changer la structure du répertoire

Recevoir les informations

L'obtention d'informations est effectuée dans PowerShell à l'aide des cmdlets Geti Glagol.

Par exemple, pour obtenir une liste de tous les utilisateurs, Score:

Pour les groupes:

Pour les enregistrements d'ordinateurs:

Si vous n'avez pas besoin de tous les enregistrements, mais certains spécifiques, vous pouvez les choisir avec les paramètres de commande.

Obtenir une liste des utilisateurs

Tous les groupes des utilisateurs du conteneur:

Get-Qadgroup -Searchroot Scorpio.Local / Utilisateurs

Tous les utilisateurs du service commercial Office de Moscou, dont les noms commencent sur la lettre A:

Get-Qaduser -City Moscou -Department Sales -Name A *

Dans le même temps, vous pouvez dire PowerShell'y, dans quelle forme vous souhaitez voir les informations reçues.

Tableau avec noms, villes et départements des employés:

Get-Qaduser | Nom de la table format, ville, département

La même chose avec le tri par villes:

Get-Qaduser | Trier la ville | Format-Table DisplayName, Ville, Département

Valeurs de tri et sélection des champs de sortie

Pour la visualisation de la liste des mêmes informations, nous utilisons simplement la commande de liste de format:

Get-Qaduser | Nom de la liste de formats, Ville, Département

Informations d'exportation vers le fichier CSV (valeurs séparées par des virgules - valeurs via une virgule):

Get-Qaduser | Sélectionnez Nom, Ville, Département | Users with-csv.csv

Créez un rapport au format HTML:

Get-Qaduser | Sélectionnez Nom, Ville, Département | ConvertTo-HTML | Utilisateurs de fichiers.html

Ainsi, une ligne d'une commande simple PowerShell vous permet de créer des rapports complexes dans un format pratique pour vous.

PowerShell vous permet de modifier les attributs de l'ensemble
Entrées d'une commande

Changer les propriétés

Après avoir maîtrisé des informations de l'annuaire, il est temps de changer quelque chose.

Les propriétés des objets peuvent être manipulées à l'aide des commandes de consigne.

Par exemple, changez mon téléphone:

Set-Qaduser 'Dmitry Sotnikov' -Phone '111-111-111'

Mais, bien sûr, les changements énormes sont plus intéressants. Pour ce faire, nous pouvons utiliser le convoyeur PowerShell, c'est-à-dire de recevoir une liste d'objets dont vous avez besoin à l'aide des commandes Get- et de les envoyer à la commande Définir pour apporter des modifications.

Par exemple, notre bureau Perm s'est déplacé dans une nouvelle pièce. Prenez tous les utilisateurs permus et attribuez-leur un nouveau numéro de téléphone:

Get-Qaduser -City Perm | Set-Qaduser -PhonenNumber '+ 7-342-1111111'

Pour des manipulations plus complexes, vous pouvez utiliser la cmdlet foreach-objet. Par exemple, chaque utilisateur attribuera une description composée de son département et de la ville:

Get-Qaduser | Object foreach (Set-Qaduser $ _ -Description (S_.City + "+ $ _. Département))

La variable $ dans cet exemple indique l'objet actuel de la collection.

PowerShell offre des possibilités de travail pratique.
Avec des groupes d'utilisateurs

Travailler avec des groupes

Travailler avec des groupes et des membres en eux est une autre opération de masse que vous souhaitez souvent automatiser. PowerShell offre une telle opportunité.

Obtenir des membres du groupe est fabriqué à l'aide de la cmdlet Get-QadGroupmember:

Get-Qadgrubmembermembermembermembermember

Ajoutez un objet au groupe est également facile:

Add-Qadgroupmember Scorpio \\ Gestionnaires -Member Dsotnikov

De même, le retrait du groupe est effectué à l'aide des cmdlets Supprimer-QadGroupMembermembermembergne.

Mais, bien sûr, les manipulations de masse sont les plus utiles. Ajoutez tous les gestionnaires au groupe approprié:

Get-qaduser -title manager | Add-qadgroupmember scorpio \\ gérants

Copiez l'adhésion au groupe:

Get-QadGroupMember Scorpio \\ Gestionnaires | Add-QadGroupmember Scorpio \\ Managers_copy_copy

Utilisez le filtre pour copier non tous les membres du groupe, mais seulement ceux qui sont responsables certain critère (Par exemple, situé dans la région de droite):

Get-QadGroupMember Scorpio \\ Gestionnaires | Où ($ _. City -eq 'Ekaterinburg') | Add-qadgroupmember scorpio \\ ekaterinburg_managers

Veuillez noter comment nous avons filtré les utilisateurs utilisant le lieu et état logique (Opérateur logique -EQ est un opérateur d'égalité à PowerShell, de l'anglais.Équivaut à).

Créer des objets

Créer des objets comme nous l'avons déjà vu, effectué par des équipes nouvelles:

New Qaduser -parentContainer Scorpio.Local / employés -Name 'Dmitry Sotnikov'

NEW-QADGROUP -PARENTCONTAINER SCORPIO.LOCAL / EMPLOYÉS -NAME - Sécurité de type «Directeurs» -Scope Global

Vous pouvez installer tout autre attribut dans le processus de création d'un enregistrement:

New Qaduser -parentContainer Scorpio.Local / employés -Name 'Nom' Dmitry Sotnikov '-samaccountName Dsotnikov -City' Saint-Petersburg '-password' [Email protégé]’

Pour activer l'enregistrement, envoyez-le simplement à la convoyeur dans Acable-Qaduser (n'oubliez pas de définir le mot de passe - sinon l'opération ne passera pas):

New Qaduser -parentContainer Scorpio.Local / employés -Name 'Dmitry Sotnikov' -password ' [Email protégé]'| Activer-qaduser.

Import-csv new_users.csv | Objet foreach (New-Qaduser -parentContainer Scorpio.Local / Utilisateurs -Name ($ _. Familia + ',' + $ _. IMYA) -SAMAccountName ($ _. Imya + $ _. Familia) -Department $ _. -Tither $ _. Titre)

Veuillez noter que nous sommes à la volée sur le nom du compte à partir du nom de famille et du nom d'utilisateur.

Exemple d'utilisation du fichier d'importation
Enregistrer

Changer la structure du répertoire

Enfin, bien sûr, vous pouvez gérer la structure du répertoire.

Par exemple, vous pouvez créer de nouveaux conteneurs:

New-QadObject -Type OrganisationUnit -parentContainer Scorpio.Local -Name Newou

et déplacer des objets en eux un par un:

Move-QadObject myserver -o scorpio.local / serveurs

ou en gros:

Get-qaduser -disabled | Move-QadObject -o scorpio.local / désactivé

Fichier d'importation et créer de nouveaux comptes

Nous pouvons facilement sélectionner des comptes qui satisfont
un certain critère et les déplacer dans un autre conteneur

Et beaucoup plus

MMA a examiné uniquement une petite partie des scripts de gestion d'un actif. Obtenir liste complète Clamm pour l'annonce, exécutez la commande:

Get-Command * -QAD *

Pour obtenir un certificat pour une équipe:

Get-Help Get-QAnser

Pour savoir quelles propriétés il y a un objet objectif avec la commande:

Get-User | Get-Membre.

Les fonctionnalités PowerShell sont pratiquement infinies, mais en même temps les trouvent assez.

Conclusion

KCAK Nous avons vu PowerShell est un excellent Active Directory. Une partie des propriétés (ADSI) est disponible dans n'importe quel paramètre PowerShell. Certains (fournisseur et cmdlets) nécessitent des modules supplémentaires. Tous offrent d'énormes possibilités d'automatiser la gestion de votre annuaire d'entreprise et de réduire ainsi les risques, de se débarrasser de la routine et d'accroître votre efficacité au travail.

L'essentiel est que ces technologies sont déjà disponibles et capables de vous aider dans l'administration de systèmes confiés aujourd'hui. En conclusion, nous citons l'administrateur système CJSC Evrasfinance CJSC Vasily Guseva: «Dans notre société, ainsi que partout, Active Directory est l'un des services les plus utilisés et les plus critiques. Avec PowerShell et AD CMDlets, de nombreuses tâches sont devenues plus faciles à effectuer via la ligne de commande que via ADUC (utilisateurs active Directory et ordinateurs. - Environ. rouge.). Jamais toujours Automatisation Active Directory était si facile et accessible. "

Alexander Emelyanov

Administrer des comptes dans le domaine Active Directory

L'une des tâches les plus importantes de l'administrateur est de gérer les comptes locaux et de domaine: audit, citation et délimitation des droits des utilisateurs en fonction de leurs besoins et de leurs politiques de l'entreprise. Qu'est-ce qui peut offrir Active Directory à cet égard?

Dans la poursuite du cycle de cycle Active Directory aujourd'hui, nous parlerons du lien central du processus d'administration - Gestion des données de comptabilité d'utilisateurs dans le domaine. Nous allons le prendre en compte:

• créer des comptes et une gestion d'entre eux;
• types de profils utilisateur et de leur utilisation;
• groupes de sécurité dans les domaines publicitaires et leurs combinaisons.

En fin de compte, vous pouvez appliquer ces documents pour créer une infrastructure de travail ou un raffinement d'un existant qui répondra à vos exigences.

Je dirai que le sujet est étroitement lié à l'application des politiques de groupe à des fins administratives. Mais en raison de l'immensité du matériau dédié à eux, elle sera divulguée dans l'article suivant.

Connaissance avec Active Directory - Utilisateurs et ordinateurs

Une fois que vous avez installé votre premier contrôleur dans le domaine (vous organisez réellement un domaine), cinq nouveaux éléments apparaissent dans la section Administration (voir Fig. 1).

Pour gérer les objets AD, Active Directory est utilisé - Utilisateurs et ordinateurs (utilisateurs et ordinateurs ADUC-AD, voir Fig. 2), ce qui peut également être appelé dans le menu "Exécuter" au moyen de DSA.MSC.

En utilisant ABUC, vous pouvez créer et supprimer des utilisateurs, attribuer des scripts de connexion au compte, gérer l'adhésion dans les groupes et les stratégies de groupe.

Il existe également la possibilité de gérer des objets AD sans accéder directement au serveur. Il fournit le package adminpak.msi, situé dans le répertoire% System_Drive% \\ Windows \\ System32. En le tournant sur sa voiture et s'abandonnait les droits de l'administrateur de domaine (s'il n'y avait pas non plus), vous pouvez administrer le domaine.

Lors de l'ouverture de l'ADUC, nous verrons la branche de notre domaine contenant cinq conteneurs et unités d'organisation.

• Intégré.. Cela contient des groupes locaux intégrés sur n'importe quelle machine de serveur, y compris les contrôleurs de domaine.
• Utilisateurs et ordinateurs. Ce sont des conteneurs dans lesquels par défaut utilisateurs, groupes et comptes compacts d'ordinateurs lors de l'installation du système sur Windows NT. Mais pour créer et stocker de nouveaux comptes, il n'est pas nécessaire d'utiliser uniquement ces conteneurs, vous pouvez créer un utilisateur même dans un conteneur de domaine. Lorsque vous allumez l'ordinateur sur le domaine, il apparaît dans le conteneur d'ordinateurs.
• Contrôleurs de domaine.. Cette unité organisationnelle (unité organisationnelle), contenant les contrôleurs de domaine par défaut. Lors de la création d'un nouveau contrôleur, il apparaît ici.
• ÉtrangerSécuritéprincipaux.. Ceci est le conteneur par défaut pour les objets des domaines de confiance externe.

Il est important de se rappeler que les politiques de groupe sont liées exclusivement au domaine, ou ou sur site. Cela doit être pris en compte lors de la création d'une hiérarchie administrative de votre domaine.

Nous entrons dans un ordinateur dans le domaine

La procédure est effectuée directement sur la machine locale que nous voulons vous connecter.

Choisissez "Mon ordinateur -\u003e Propriétés -\u003e Nom de l'ordinateur," Appuyez sur le bouton "Modifier" et dans le menu "Membre" Sélectionnez "Domaine". Nous entrons dans le nom de domaine dans lequel nous souhaitons ajouter notre ordinateur, puis nous prouvons que nous avons les droits d'ajouter des postes de travail au domaine en saisissant les données d'authentification administrateur de domaine.

Créer un utilisateur de domaine

Pour créer un utilisateur, vous devez sélectionner n'importe quel conteneur dans lequel il se trouvera, cliquez dessus avec le bouton droit de la souris et sélectionnez "Créer -\u003e Utilisateur". L'assistant de création d'utilisateurs s'ouvre. Ici, vous pouvez spécifier une variété de ses attributs, en commençant par le nom d'utilisateur et les cadres de journalisation temporaires dans le domaine et se terminant par les paramètres des services de terminal et de l'accès à distance. À la fin de l'assistant, vous recevrez un nouvel utilisateur de domaine.

Il convient de noter que, dans le processus de création d'un utilisateur, le système peut "raisonner" sur la complexité insuffisante du mot de passe ou de sa brièveté. Vous pouvez atténuer les exigences en ouvrant la stratégie de sécurité de domaine (paramètres de sécurité de domaine par défaut), puis «Paramètres de sécurité -\u003e Stratégies de compte -\u003e Politique de mot de passe.

Devons nous avons créé l'utilisateur Ivan Ivanov dans le conteneur des utilisateurs (nom de connexion de l'utilisateur: [Email protégé]). Si dans les systèmes NT 4, seul le rôle de la décoration jouée, alors dans l'annonce, il fait partie du nom du format LDAP, qui a l'air tout à fait comme ça:

cN \u003d "Ivan Ivanov", CN \u003d "Utilisateurs", DC \u003d "HQ", DC \u003d "LOCAL"

Ici CN - Nom du conteneur, Composant DC - Domain. Description des objets LDAP sont utilisés pour exécuter des scripts WSH (hôtes de script Windows) ou pour les programmes à l'aide du protocole LDAP pour communiquer avec Active Directory.

Pour entrer dans le domaine, Ivan Ivanov devra utiliser le nom au format UPN (Nom du capital universel): [Email protégé] En outre, dans les domaines d'annonce, il sera clair pour écrire le nom dans l'ancien format NT 4 (avant Win2000), dans notre cas HQ \\ Ivanov.

Lors de la création d'un compte d'utilisateur, il est automatiquement attribué à l'identificateur de sécurité (SID, identifiant de sécurité) est un numéro unique par lequel le système et définit les utilisateurs. Il est très important de comprendre, car lorsque vous supprimez un compte, son SID est supprimé et n'est jamais utilisé. Et chaque nouveau compte aura son nouveau SID, c'est pourquoi il ne sera pas en mesure d'obtenir les droits et les privilèges de l'ancien.

Un compte peut être déplacé vers un autre conteneur ou ou, désactiver ou, au contraire, activer, copier ou échanger un mot de passe. La copie est souvent utilisée pour créer plusieurs utilisateurs avec les mêmes paramètres.

Environnement de travail de l'utilisateur

Les informations d'identification stockées centralement sur le serveur permettent aux utilisateurs de s'identifier sans ambiguïté dans le domaine et de recevoir les droits pertinents et l'accès à l'environnement de travail. Tous les systèmes d'exploitation de la famille Windows NT sont utilisés pour créer un environnement de travail sur le profil utilisateur de la machine client.

Profil local

Considérez les composants principaux du profil utilisateur:

• Partition de registre correspondant à un utilisateur spécifique («Hive» ou «Hive»).En fait, les données de cette ligne du registre sont stockées dans le fichier NTUSER.DAT. Il est situé dans la% SystemDrive% \\ Documents et Paramètres \\ Nom de nom_sutilisateur, qui contient un profil utilisateur. Ainsi, lorsque l'utilisateur spécifique se connecte dans le système de la section de registre HKEY_CURRENT_USER, la «HIVE» de NTUser.dat est chargée à partir du dossier contenant son profil. Et toutes les modifications apportées aux paramètres de l'environnement utilisateur pour la session seront maintenues dans cette "ruche". Le fichier NTUSER.DAT.LOG est un journal de transaction qui existe pour protéger le fichier NTUSER.DAT. Toutefois, pour l'utilisateur utilisateur par défaut, vous pouvez difficilement le trouver car il s'agit d'un modèle. À ce sujet ensuite. L'administrateur a la possibilité de modifier la "ruche" d'un utilisateur spécifique directement à partir de son environnement de travail. Pour ce faire, à l'aide de l'Éditeur de registre ReeDIT32, il doit charger "HIVE" dans la section HKEY_USERSES, puis après avoir apporté des modifications pour le décharger.
• Dossiers système de fichierscontenant des fichiers de paramètres personnalisés. Ils sont situés dans un catalogue spécial% SystemDrive% \\ Documents et Paramètres \\ Nom, où User_Name est le nom de l'utilisateur connecté. Il est stocké ici les éléments du bureau, les éléments du démarrage, des documents, etc.

Si l'utilisateur entre d'abord dans le système, ce qui suit se produit:

1. Le système vérifie si le profil local de cet utilisateur existe.
2. Après avoir trouvé cela, le système fait référence au contrôleur de domaine dans la recherche du profil de domaine par défaut, qui devrait être situé dans le dossier utilisateur par défaut. ressource commune NetLogon; Si le système a détecté ce profil, il est copié localement à la machine dans le dossier% SystemDrive% \\ Documents et paramètres avec le nom d'utilisateur, sinon il est copié à partir du système local% SystemDrive% \\ Documents et paramètres \\ Utilisateur par défaut.
3. La session de registre "Hive" utilisateur est chargée dans la section de registre HKEY_CURRENT_USER.
4. Lorsque vous quittez le système, toutes les modifications sont enregistrées localement.

En fin de compte, l'environnement de travail de l'utilisateur est la combinaison de son profil de travail et du profil de tous les utilisateurs, qui contient commun à tous les utilisateurs de cette machine de configuration.

Maintenant quelques mots sur la création d'un profil par défaut pour un domaine. Créez un profil fictif sur votre voiture, configurez-le en fonction de vos besoins avec les exigences de la politique d'entreprise. Ensuite, laissez le système et revenez en tant qu'administrateur de domaine. Sur la ressource Shared NetLogon Server, créez un dossier utilisateur par défaut. Ensuite, à l'aide de l'onglet Profils d'utilisateur de l'applet système (voir Fig. 3) Copiez votre profil dans ce dossier et fournissez les droits d'utiliser le groupe d'utilisateurs de domaine ou tout autre. groupe approprié Sécurité. Tout, le profil par défaut de votre domaine est créé.

Profil transféré

Active Directory comme une technologie flexible et évolutive vous permet de travailler dans un environnement de votre entreprise avec des profils déplacés que nous examinerons plus loin.

Dans le même temps, il conviendra de parler de la redirection des dossiers comme l'une des caractéristiques de la technologie IntelliMirror pour assurer la tolérance aux défaillances et le stockage centralisé des données utilisateur.

Les profils transférés sont stockés sur le serveur. Le chemin d'accès à eux est spécifié dans les paramètres de l'utilisateur de domaine (voir fig. 4).

Si vous le souhaitez, vous pouvez spécifier les profils déplacés pour plusieurs utilisateurs en même temps, en surbrillance plusieurs utilisateurs et dans les propriétés de l'onglet Profile, spécifiez% nom d'utilisateur% au lieu du dossier avec le nom d'utilisateur (voir Fig. 5).

Le processus de première connexion au système qui a un profil déplacé, semblable à celui décrit ci-dessus pour local, à quelques exceptions près.

Tout d'abord, étant donné que le chemin du profil de l'objet utilisateur est spécifié, le système vérifie la présence d'une copie locale mise en cache du profil en voiture, puis tout comme décrit.

Deuxièmement, à la fin, toutes les modifications sont copiées sur le serveur et si les stratégies de groupe ne sont pas spécifiées pour supprimer une copie locale, stockées sur cette machine. Si l'utilisateur a déjà eu une copie de profil local, le serveur et les copies locales du profil sont comparés et combinés.

Technologie IntelliMirror B. systèmes Windows Les versions récentes permettent la redirection dossiers définis Utilisateurs, tels que "Mes documents", "Mes images", etc., sur une ressource réseau.

Ainsi, pour l'utilisateur, toutes les modifications apportées sont absolument transparentes. En enregistrant des documents dans le dossier "My Documents", qui sera délibérément redirigé vers la ressource réseau, il ne soupçonnera même pas que tout est enregistré sur le serveur.

Vous pouvez configurer la redirection comme manuellement pour chaque utilisateur et utiliser des stratégies de groupe.

Dans le premier cas, vous devez cliquer sur l'icône "My Documents" sur le bureau ou dans le menu "Démarrer" avec le bouton droit de la souris et sélectionnez Propriétés. Plus loin, tout est extrêmement simple.

Dans le second cas, vous devez ouvrir une stratégie de groupe ou un domaine pour lequel nous souhaitons appliquer la redirection et divulguer la hiérarchie "Configuration utilisateur -\u003e Configuration de Windows"(Voir Fig. 6). Ensuite, la redirection est configurée ou pour tous les utilisateurs ou pour certains groupes de sécurité ou un domaine auquel cette stratégie de groupe sera appliquée.

Utilisation de la redirection de dossiers pour fonctionner avec les profils utilisateur mobiles, vous pouvez par exemple réduire le temps de chargement du profil. Ceci est à condition que le profil de déplacement est toujours chargé du serveur sans utiliser de copie locale.

L'histoire de la technologie de redirection des dossiers serait incomplète sans mentionner des fichiers autonomes. Ils permettent aux utilisateurs de travailler avec des documents même en l'absence d'une connexion réseau. La synchronisation avec des copies de serveurs des documents se produit lorsque l'ordinateur est ensuite connecté au réseau. Un tel système d'organisation sera utile, par exemple, les utilisateurs d'ordinateurs portables travaillant à la fois au sein du réseau local et à la maison.

Les inconvénients des profils mobiles comprennent les éléments suivants:

• il peut y avoir une situation dans laquelle, par exemple, sur le bureau de l'utilisateur, il y aura des étiquettes de certains programmes et sur une autre machine, où il remarquera que le propriétaire d'un profil mobile de tels programmes, respectivement, une partie des raccourcis ne sera pas travail;
• de nombreux utilisateurs ont l'habitude de stocker des documents, ainsi que des photos et même des vidéos sur le bureau, en conséquence, lors du chargement d'un profil en mouvement du serveur, chaque fois est créé. trafic supplémentaire sur le réseau, et le profil lui-même est chargé depuis très longtemps; Pour résoudre le problème, utilisez les autorisations NTFS pour limiter la préservation de «ordures» sur le bureau;
• chaque fois que l'utilisateur entre dans le système, un profil local est créé pour celui-ci (plus précisément, le profil du serveur est copié localement) et si les machines de travail changent, chacune d'entre elles reste une telle "ordures"; Cela peut être évité en configurant plusieurs stratégies de groupe ("Configuration de l'ordinateur -\u003e Modèles d'administration -\u003e Système -\u003e Profils d'utilisateur", "Supprimer des copies en cache des profils d'itinérance").

Introduction d'un utilisateur existant dans le domaine

Souvent, lorsque le service d'annuaire est déployé dans le réseau déjà existant sur la base de groupes de travail, la question de l'introduction d'un utilisateur au domaine sans perdre les paramètres de son support de travail. Cela peut être atteint en utilisant des profils en mouvement.

Créez sur une ressource réseau (par exemple, des profils) sur le dossier serveur avec le nom d'utilisateur et définissez une autorisation d'écriture pour celui-ci pour le groupe TOUT LE MONDE. Laissez-le appeler hquser et le chemin complet de celui-ci ressemble à ceci: \\\\ Server \\ profils \\ hquer.

Créez un utilisateur de domaine qui correspondra à l'utilisateur de votre réseau local et de chemin d'accès au profil, spécifiez \\\\ Server \\ profils \\ hquser.

Sur un ordinateur contenant le profil local de notre utilisateur, vous devez entrer le compte administrateur et utiliser l'onglet Profils d'utilisateur de l'applet de système Copiez-le sur le dossier \\\\ Server \\ Profiles \\ HQUser.

Il est facile de comprendre que la prochaine fois que vous entrez dans le système sous un nouveau compte de domaine, notre utilisateur chargera son profil de travail du serveur et l'administrateur ne restera que pour décider de quitter ce profil ou de faire une locale.

En quittant

Très souvent, les utilisateurs sont chargés de disques réseau inutiles. Pour éviter les demandes permanentes de nettoyer vos dossiers personnels de déchets inutiles (pour une raison quelconque, il s'avère toujours nécessaire), vous pouvez utiliser le mécanisme de quota. À partir de Windows 2000, cela peut être effectué par des moyens standard sur les volumes NTFS.

Pour activer le mécanisme de quota et de configuration, vous devez accéder aux propriétés du volume local et ouvrir l'onglet Quota (quota) (voir Fig. 7).

Vous pouvez également voir les données sur l'espace disque occupé et configurer les quotas séparément pour chaque utilisateur (voir fig. 8). Le système calcule l'espace disque occupé en fonction des données du propriétaire de l'objet, en résumant la quantité de fichiers appartenant à elle et à des dossiers.

Groupes d'utilisateurs en annonce

Gestion des utilisateurs dans le domaine - La tâche est simple. Mais lorsque vous devez configurer l'accès à certaines ressources de plusieurs dizaines d'utilisateurs (ou centaines), beaucoup de temps peut laisser la distribution des droits d'accès.

Et s'il est nécessaire de délimiter subtilement les droits aux participants de plusieurs domaines de l'arbre ou de la forêt, la tâche des tâches de la théorie des ensembles se pose avant l'administrateur. L'utilisation de groupes vient à la rescousse.

La principale caractéristique des groupes rencontrés dans le domaine a été donnée dans le dernier article de l'architecture du service d'annuaire.

Permettez-moi de vous rappeler que les groupes de domaine locaux peuvent inclure des utilisateurs de leur domaine et d'autres domaines dans la forêt, mais sa zone est limitée au domaine à laquelle elle appartient.

Les groupes mondiaux peuvent inclure uniquement les utilisateurs de leur domaine, mais il est possible de les utiliser pour donner accès aux ressources à la fois dans leur propre domaine et d'autres domaines de la forêt.

Les groupes universels, correspondant à leur nom, peuvent contenir des utilisateurs de n'importe quel domaine et également être utilisés pour fournir un accès dans toute la forêt. Peu importe que le groupe universel du domaine soit créé, le seul, il convient de déterminer que lorsqu'il se déplace, les droits d'accès seront perdus et ils devront se réaffecter à nouveau.

Pour comprendre les principes ci-dessus et de base des groupes de groupes décrits ci-dessus, envisagez un exemple. Passons une forêt contenant deux domaines hq.local et sd.local (dont celui d'entre eux est root dans ce cas, peu importe). Chacun des domaines contient des ressources auxquelles l'accès et les utilisateurs doivent être fournis (voir fig. 9).

De la Fig. 9 On peut constater que tous les utilisateurs de la forêt (Green and Red Lines) doivent avoir accès aux documents et distribuez des ressources. Nous pouvons donc créer un groupe universel contenant des utilisateurs des deux domaines et l'utiliser lors de la spécification des autorisations d'accès aux deux ressources. Soit nous pouvons créer deux groupes mondiaux dans chaque domaine que les utilisateurs ne contiendront que leur domaine et les inclure dans un groupe universel. L'un de ces groupes mondiaux peut également être utilisé pour attribuer des droits.

L'accès au répertoire de base doit avoir des utilisateurs uniquement à partir du domaine HQ.Local (lignes bleues). Nous les inclions donc dans le groupe de domaine local, et ce groupe fournira un accès.

Le catalogue Distribution aura le droit d'utiliser à la fois les membres du domaine HQ.Local et les membres du domaine SD.Local (lignes orange à la Fig. 9). Par conséquent, les utilisateurs de gestionnaires et de salaires peuvent ajouter HQ.Local au groupe de domaine global, puis ajouter ce groupe au groupe de domaine SD.Local local avec l'utilisateur informatique. Ensuite, ce groupe local et fournir un accès à la ressource distribuée.

Nous examinerons maintenant la nidification de ces groupes et envisagerons d'autres groupes de domaine locaux intégrés au groupe.

Le tableau indique quels groupes peuvent être intégrés. Ici, les horizontals sont situés des groupes dans lesquels des groupes situés verticalement sont investis. De plus, cela signifie qu'un type de groupes peut être investi dans un autre, il n'y a pas de moins.

Sur une ressource sur Internet sur les examens de certification Microsoft, j'ai vu une mention d'une telle formule - Agudlp, qui signifie: Les comptes sont placés dans des groupes mondiaux (globaux), qui sont placés à Universal (Universal), qui sont placés dans la section locale. Groupes de domaine (domaine local) auxquels les autorisations) sont appliquées. Cette formule décrit parfaitement la possibilité d'imbrication. Il convient d'ajouter que toutes ces espèces peuvent être intégrées aux groupes locaux d'une seule voiture (domaines locaux exclusivement dans leur domaine).

Niblage de groupe de domaine

Niché	Groupes locaux	Groupes mondiaux	Groupes universels
Compte
Groupes locaux	+ (à l'exception des groupes locaux intégrés et seulement dans son propre domaine)
Groupes mondiaux		+ (seulement dans son propre domaine)
Groupes universels

Les groupes de domaine locaux intégrés sont situés dans un conteneur intégré et sont en réalité des groupes de machines locales, mais uniquement pour les contrôleurs de domaine. Et contrairement aux groupes de domaine locaux, le conteneur utilisateurs ne peut pas être déplacé vers d'autres unités organisationnelles.

La bonne compréhension du processus d'administration de compte vous permettra de créer un environnement de travail clairement configuré de l'entreprise, en garantissant la flexibilité de la gestion, et surtout - la tolérance et la sécurité des pannes du domaine. Dans le prochain article, nous allons parler de politiciens de groupe comme outil de création d'un environnement utilisateur.

application

Nuances de l'authentification de domaine

Lorsque vous utilisez des profils locaux, une situation peut survenir lorsque l'utilisateur du domaine essaie d'entrer. poste de travailqui a son profil local, mais pour une raison quelconque n'a pas accès au contrôleur. Étonnamment, l'utilisateur passe avec succès l'authentification et sera autorisé à fonctionner.

Une telle situation se pose en raison de la mise en cache du mandat de l'utilisateur et peut être corrigée en apportant des modifications au registre. Pour ce faire, dans le logiciel HKEY_LOCAL_MACHINE \\ Microsoft \\ Windows NT \\ Software \\ Microsoft \\ Windows NT \\ Version actuelle \\ WinLogon (s'il n'y a pas) entrée avec le nom CachedLogonCount, le type de données REG_DWORD et définissez sa valeur à zéro. Un résultat similaire peut être atteint à l'aide de stratégies de groupe.

1. Emelyanov A. Principes Construction de domaines Active Directory, // " Administrateur du système", №2, 2007 - P. 38-43.

En contact avec

Après avoir installé Active Directory, vous pouvez procéder à la création d'objets et à les contrôler.

6.5.1. Créer des divisions et des objets en eux

6.5.1.1. Création de divisions organisationnelles (OP)

OP peut créer dans le domaine, l'objet du contrôleur de domaine ou une autre op (Fig. 6.3). Dans l'OP créé, vous pouvez ajouter des objets.

Pour créer un OP, il est nécessaire d'avoir le pouvoir d'ajouter des divisions au parent op, à un domaine ou au nœud du contrôleur de domaine, où l'OP sera créé. Par défaut, de tels pouvoirs sont donnés au groupe Administrateurs.

personnes).

Vous ne pouvez pas créer un op dans la plupart des conteneurs standard

nerkov, tels que des ordinateurs ou des utilisateurs.

Figure. 6.3. Département OP de l'OTI dans le nœud du contrôleur de domaine

OP sont créés pour simplifier l'administration du réseau. La structure de l'OP devrait être basée sur tâches spécifiques enfer-

ministère. Vous pouvez facilement modifier la structure de l'opération ou déplacer des objets entre l'op.

OP sont créés dans les cas suivants:

fournir des pouvoirs administratifs à d'autres utilisateurs ou administrateurs;

grouper des objets sur lesquels des opérations administratives similaires sont effectuées; Cela facilite la recherche de ressources réseau et leur service - donc, peut être combiné dans une opasse tous les objetsUtilisateur pour les employés temporaires;

pour limiter la visibilité des ressources réseau au stockage Active Directory, les utilisateurs ne verront que les objets à quel accès; Les autorisations pour OP peuvent être facilement modifiées en limitant l'accès à des informations confidentielles.

6.5.1.2. Ajouter des objets en op

Pour ajouter des objets à l'OP, vous devez y avoir avec une autorité appropriée. Par défaut, ces droits fournis au groupe Administrateurs. Les variétés des objets créés dépendent des règles du schéma utilisé par l'assistant ou le snap. Certains attributs d'objet peuvent être définis qu'après sa création.

6.5.2. Objets de contrôle Active Directory

La gestion des objets Active Directory comprend la recherche d'objets, les modifier, la destruction ou le mouvement. Dans les deux derniers cas, vous devez avoir des autorisations appropriées pour l'objet ou pour l'OP, où vous déplacez l'objet. Par défaut, tous les membres du groupe Administrateurs ont ces pouvoirs.

6.5.2.1. Recherche d'objets

Le catalogue global (GC) contient une réplique partielle de l'ensemble du catalogue et stocke des informations sur tous les objets du domaine ou de l'arborescence. Par conséquent, l'utilisateur peut trouver un objet quel que soit son emplacement dans le domaine ou la forêt. Le contenu du GC est automatiquement généré par des informations provenant des domaines qui composent le répertoire.

Pour rechercher des objets, ouvrez le logement enfichable, le raccourci est dans le groupe d'outils programmés. Dans l'arbre de la console, cliquez avec le bouton droit de la souris

utilisez le bouton Domaine ou OP Mouse et sélectionnez la commande Rechercher (Rechercher) dans le menu contextuel. Une boîte de dialogue s'ouvre

(Recherche) (Fig. 6.4).

Figure. 6.4. Trouver la boîte de dialogue

Si vous révélez le menu contextuel de l'objet Dossier partagé (dossier partagé)et choisissez le commandement

(Rechercher), la recherche de Windows Explorer sera lancée et vous pouvez rechercher dossier partagé Fichiers et sous-dossiers.

La boîte de dialogue Rechercher inclut les options de recherche dans le GC, vous permettant de trouver des comptes, des groupes et des imprimantes.

6.5.2.2. Modifier les valeurs d'attribut

et suppression des objets

Pour modifier les valeurs d'attribut, ouvrez l'AC

utilisateurs et ordinateurs de répertoire Tive et sélectionnez une instance d'objet

cette. Dans le menu Action, sélectionnez Comprieurs. Dans la boîte de dialogue Propriétés

ecta Modifier les attributs d'objet désirés. Ensuite, apportez des amendements à la description de l'objet, par exemple, modifier l'objet utilisateur de modifier le nom, l'emplacement et l'adresse électronique de l'utilisateur. Si des objets ne sont plus nécessaires, supprimez-les à des fins de sécurité: ouvrir l'équipement des utilisateurs de répertoire et

Les ordinateurs mettent en surbrillance une instance de l'objet étant supprimée, puis dans le menu Outils, sélectionnez Supprimer

(Effacer).

6.5.2.3. Déplacer des objets

Dans le stockage Active Directory, vous pouvez déplacer des objets, par exemple, entre OP pour refléter les modifications de la structure de l'entreprise lorsque l'employé est transféré d'un département à

goy. Pour ce faire, ouvrir le claquement Utilisateurs Active Directory et Com-

puters, sélectionnez l'objet en mouvement, sélectionnez Déplacer (déplacer) et

spécifiez le nouvel emplacement de l'objet.

6.5.3. Contrôle d'accès aux objets Active Directory

Pour contrôler l'accès aux objets Active Directory, un modèle de protection orienté objet est utilisé, un tel modèle de protection NTFS.

Chaque objet Active Directory dispose d'un descripteur de sécurité qui détermine qui a le droit d'accéder à l'objet et au type d'accès. Windows Server utilise des descripteurs de sécurité pour contrôler l'accès aux objets.

Pour simplifier l'administration, il est possible de grouper des objets avec les mêmes exigences de sécurité dans l'OP et d'attribuer des autorisations d'accès pour l'ensemble de l'OP et de tous les objets.

6.5.3.1. Gestion des autorisations Active Directory

Les autorisations Active Directory fournissent une protection des ressources, vous permettant de gérer l'accès à des instances d'objets ou d'attributs d'objet et de déterminer la vue de l'accès fourni.

Protection Active Directory

L'administrateur ou le propriétaire de l'objet doit attribuer un objet d'autorisation d'accès avant que les utilisateurs puissent accéder à cet objet. Windows Server stocke la liste de contrôle d'accès (liste de contrôle d'accès, ACL) pour chaque

l'objet Active Directory.

L'objet ACL inclut une liste d'utilisateurs autorisés à accéder à l'objet, ainsi qu'à un ensemble d'objets admissibles.

Vous pouvez utiliser des autorisations pour la destination autorité administrative un utilisateur ou un groupe spécifique en relation avec OP, la hiérarchie de l'OP ou objet séparé Sans nommer des permis administratifs pour

objets de répertoire anctifs.

Autorisations d'accès à l'objet

Dépend du type d'objet - par exemple, la résolution du mot de passe de réinitialisation est admissible pour les objets d'utilisateur, mais pas pour les objets

L'ordinateur.

L'utilisateur peut être membre de plusieurs groupes avec différentes autorisations pour chacune d'elles fournissant différents niveaux Accès aux objets. Lorsque vous attribuez la permission d'accéder à l'objet, un membre du groupe, doté d'autres autorisations, les droits effectifs de l'utilisateur se développeront à partir de ses autorisations et de ses autorisations du groupe.

Vous pouvez fournir ou annuler des autorisations. Permis annulés pour les utilisateurs et les groupes de permis d'émission plus prioritaire.

Si l'utilisateur est interdit d'accéder à l'objet, il ne sera pas accès à celui-ci même en tant que membre du groupe plénipotentiaire.

Affectation des autorisations Active Directory

Configurer les autorisations d'objets et leurs attributs permettent d'outillage Utilisateurs et ordinateurs Active Directory. Nommer

les solutions peuvent également être sur l'onglet. Sécuritéla boîte de dialogue Propriétés de l'objet.

Pour remplir la plupart des tâches administratives, il existe suffisamment d'autorisations standard.