Gestion de Active Directory à l'aide de Powershell. Installation de Active Directory. Créer des divisions et des objets en eux

Dans la première partie du cycle des articles, j'ai fait un bref nouvelles fonctionnalités Active Directory. Regardons tout cela plus étroitement ...

Configuration du rôle Ad ds

Pour installer Active Directory Domain Services, le gestionnaire de serveur et Windows PowerShell, ainsi que d'installer tous les autres rôles et composants de serveur et dans Windows Server 2012.

Intégration du serveur et DS Manager

Manager Server agit comme un concentrateur de gestion de serveur unique. Son groupe mises à jour périodiquement définir des rôles et groupes de serveurs distants. Server Manager fournit gouvernance centralisée Serveurs locaux et distants sans la nécessité d'accéder à la console locale. Les services de domaine Active Directory sont l'un de ces rôles; Exécution du gestionnaire de serveur sur le contrôleur de domaine ou des moyens administration distante Serveurs du client Windows 8, vous verrez tous les événements importants qui se sont récemment arrivés sur les contrôleurs de domaine dans la forêt. Ces idées incluent:

Serveur d'accessibilité

Surveillance des avertissements élevés et de la mémoire et de la mémoire

état services Windowsrelatif à ad ds

Avertissements récents liés aux services d'annuaire et aux erreurs d'écriture dans le journal des événements

Meilleures pratiques d'analyse des contrôleurs de domaine et des recommandations de Microsoft

Panier dans le centre d'administration Active Directory

Dans Windows Server 2008 R2, un panier d'Active Directory est apparu pour la première fois, ce qui permettait de restaurer des objets Active Directory distants sans récupération à partir d'une sauvegarde, de redémarrer les services de domaine Active Directory ou redémarrez les contrôleurs de domaine. Windows Server 2012 apporté nouveau interface graphique Pour un panier dans le centre d'administration Active Directory. Il permet aux administrateurs d'activer le panier, puis de rechercher ou de restaurer des objets distants dans un contexte de domaine dans la forêt, et tout cela sans utilisation directe de Windows PowerShell Condlers. Centre d'administration Active Directory et Active Directory Le panier utilise toujours Windows Moteur PowerShell, de sorte que les scénarios antérieurs et l'exécution de cmdlets individuels peuvent continuer à être appliqués avec succès.

Paramètres détaillés pour les comptes de verrouillage et les mots de passe au centre de l'administration

Sous Windows Server 2008, des stratégies de mot de passe détaillées sont apparues, ce qui a permis aux administrateurs de configurer plusieurs mots de passe et de stratégies de blocage de compte dans le domaine. Cette décision a permis de gérer de manière plus flexible une stratégie de domaine pour assurer des règles de mot de passe plus ou moins strictes, en fonction des utilisateurs et des groupes. Il n'avait pas d'interface de gestion et d'administrateurs distincts devait la configurer à l'aide de LDP.EXE ou ADSIEDIT.MSC. Windows Server 2008 R2 a introduit le module ActiveDirectory pour Windows PowerShell, qui permettait aux administrateurs d'utiliser l'interface de ligne de commande pour FGPP. Windows Server 2012 apporte une interface graphique pour une gestion de la stratégie de mot de passe détaillée. Centre d'administration Active Directory est maintenant le point de départ du contrôle simplifié FGPP pour tous les administrateurs.

Voir l'histoire Windows PowerShell

Windows Server 2008 R2 a introduit le centre d'administration Active Directory, qui a remplacé les administrateurs bien connus depuis l'heure de Windows 2000, l'Active Directory s'exécute et les ordinateurs. Centre d'administration Active Directory utilise simplement le moteur de module ActiveDirctory sous la hotte pour PowerShell, fournissant une interface graphique pour exécuter des commandes d'administration.

Étant donné que le module ActiveDirectory lui-même contient plus de cent équipes, ils peuvent être légèrement confus. Maintenant, PowerShell est étroitement intégré à la stratégie d'administration Windows, et le Centre d'administration Active Directory inclut désormais la visualisation de l'historique d'exécution des commandes qui vous permettent de voir la commande effectuée dans l'interface graphique. Vous pouvez également rechercher ici et copier, nettoyer l'historique et ajouter des notes dans une interface simple et pratique. Cela permettra à l'administrateur d'utiliser l'interface graphique pour créer et éditer des objets, puis les afficher dans l'historique de visualisation, pour en savoir plus sur les scripts PowerShell sur les exemples.

Réplication PowerShell par des moyens

Hourra! Maintenant, le bon vieux repadmin peut aller en paix - dans le nouveau module PowerShell pour Active Directory, il existe une fonctionnalité beaucoup plus riche - il vous permet de configurer des sites nouveaux ou existants, des sous-liés, des connexions, des sites et des têtes de pont. Nous pouvons également contrôler La réplication de la métadonnée et de l'état de la mise à jour de la file d'attente (UTDVEC).

Utilisation de la réplication CMDlets en conjonction avec un autre module CMDMS Ad PowerShell vous permet d'administrer toute la forêt en utilisant une seule console.

Tout cela donne une impulsion supplémentaire aux administrateurs qui souhaitent utiliser toutes les nouvelles fonctionnalités de Windows Server sans utiliser l'interface graphique, ce qui réduira la surface des attaques et le temps de maintenance des serveurs. Cela revêt une importance particulière si les serveurs doivent être déployés dans des réseaux hautement protégés, tels que les réseaux Secret Internet Protocol Router (SIPR) et les réseaux de périmètre d'entreprise (DMZ).

Je me permettrai ici de noter que le nouvel Assistant d'installation Windows Server 2012 recommande immédiatement d'installer un serveur en mode Core, comme l'installation la plus efficace, contrairement à la version précédente Installateur dans Windows Server 2008 R2. (Cette option est immédiatement sélectionnée par défaut)

Référence technique du serveur Windows Server

Améliorations de l'émission et de la gestion du RID

Le Master RID est apparu dans Windows 2000, qui a émis un pool d'identifiant relatif pour les contrôleurs de domaine afin que ce dernier puisse créer des identificateurs de sécurité (SID) pour les directeurs de sécurité, tels que les utilisateurs, les groupes et les ordinateurs. Par défaut, l'espace GLOBAL RID est limité à 2 30 (ou 1073741823) du nombre total d'identifiants créé dans le domaine. Identifiant SID ne peux pas Être recréé ou réédité. Pendant longtemps, le bassin débutant devrait commencer à courir dans de grands domaines, ou les incidents peuvent entraîner des appauvrements inutiles de la piscine débutante. Windows Server 2012 révise un certain nombre de moments associés à la délivrance des problèmes de débris et de gestion pour la première fois depuis 1999. Ceux-ci inclus:

• L'utilisation périodique de la piscine RID est désormais enregistrée comme un avertissement dans le journal des événements.
• L'événement est créé sur la piscine débutante non essentielle
• La limite de stratégie maximale du RID de la taille du bloc RID est désormais appliquée de force.
• Possédance artificielle Applique de force et entre dans une alerte dans le journal des événements si l'espace Global Rid est épuisé, permettant ainsi à l'administrateur de prendre des mesures avant qu'il ne soit épuisé.
• Global spacerid est maintenant augmenté d'un bit;), double la taille des adresses à 2 31 (2 147 483 648 PEID) comment les identifiants de sécurité fonctionnent

pour toucher le rida avec les mains vous aidera ....dcdiag:

Dcdiag.exe / test: RidManager / V | Trouver / I "Disponible RID Pool pour le domaine"

ou PowerShell

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

####################### # Obtenir le domaine RID Info # ####################### ## Basé sur le code de https://blogs.technet.com/b/askds/archive/2011/09/12/Maning-rid-pool-depletion.aspx Import-Module ActiveDirectory Write-Verbose "Obtenez des informations débutantes de la publicité, y compris le nombre de RID émis et restants` r $ Ridmanagerproperty \u003d get-adobject "cn \u003d gidon manager $, cn \u003d système, $ addomaindistinguisingname" -Property RidavailablePool -Server ((Get-Addomain $ DomainDns) .RidMaster). $ Ridinfo \u003d $ ridmanagerproperty.ridavailablepool $ TOTALSIDS \u003d $ ridinfo / (:: pow (2.32)) $ Temp64val \u003d $ totassids * (:: pow (2,32)) $ CurcunRidpoolCount \u003d $ ridinfo - $ temp64val $ Ridsreming \u003d $ totassids - $ CurrentRidpoolCount $ RidsissuedpcntoftoTotal \u003d ($ CURCORDPOOLCOUNT / $ TOTALSIDS) $ RidsissuedCercenofotal \u003d "(0: p2)" -f $ ridsissuedpcntotal $ RidsremAiningPcntoftal \u003d ($ ridsreming / $ tozsides) $ RidsremAiningCenterCotal \u003d "(0: P2)" -F $ ridsremingpcntoftotal Écrire une sortie "Rids émis: $ CurcunRidpoolCount ($ RidsSistuseSuedCercceptotal du total)` r " Écrire une sortie "Rids restant: $ ridsreming ($ ridsremingcenterCotal du total)` r "

Suite ...

Dans l'informatique numérique de novembre, nous vous connaissons avec les principales caractéristiques de Windows PowerShell - la nouvelle ligne de ligne de commande et la langue de script de microsoft.. Aujourd'hui, nous examinerons l'utilisation de cet environnement pour administrer le répertoire d'entreprise de Active Directory (AD).

Brièvement sur PowerShell

Windows PowerShell est une nouvelle ligne de commande et une langue de script de Microsoft. PowerShell est un composant de Windows Server 2008 (il vous suffit de le sélectionner dans Server Manager) et est disponible au téléchargement à partir de la page www.microsoft.com/powershell pour Windows XP, Windows Server 2003 et Windows Vista.

Si vous ne connaissez pas Windows PowerShell, nous vous recommandons d'abord lire l'article »Windows PowerShell. Brièvement sur la principale chose. »Dans ComputerPress No. 11'2007. Dans cette publication, nous nous limiterons à une brève répétition des bases et nous allons passer immédiatement au sujet principal de l'article.

Donc, Équipes PowerShell Les pinces sont appelées (cmdlet) et se composent d'un verbe (par exemple, d'obtenir, de se mettre, de la nouvelle, de supprimer, de déplacer, de se connecter) et d'un nom dans un seul numéro décrivant un objet d'action. Il y a un trait d'union entre eux. Il s'avère quelque chose comme: get-processus, service d'arrêt, etc.

En règle générale, les équipes sont associées à un convoyeur désigné par une caractéristique verticale (|). Ce signe signifie que toute la collection d'objets de la commande précédente est transmise à la suivante.

Une telle orientation objet est très pratique car elle facilite l'utilisation d'objets et relier les équipes ensemble. Dans cet article, nous indiquerons comment cette approche facilite la gestion du répertoire d'entreprise basée sur Active Directory.

Façons de travailler avec Active Directory

Le répertoire Active Directory est la base réseaux d'entreprise sur le base de données Windows Server 2000, 2003 et 2008. Il est là que tous les comptes d'utilisateurs sont stockés, des informations sur des groupes, des ordinateurs de réseau, des boîtes de courrier électronique et de nombreuses autres choses.

Toutes ces richesses doivent être gérées, pour lesquelles la boîte à outils correspondante, qui fait partie de Windows Server, est destinée, mais c'est PowerShell qui facilite l'automatiser des actions de masse destinées à un grand nombre de objets.

Il existe trois façons principales de travailler avec Active Directory dans Windows PowerShell:

• utilisation de l'interface d'interfaces de service Active Directory (ADSI), cette méthode est la plus difficile, mais fonctionne dans n'importe quelle installation PowerShell et ne nécessite pas de modules supplémentaires. Il est également le plus proche de la méthode de contrôle utilisée dans la langue de scénario VBScript;
• utilisation du fournisseur Active Directory inclus dans l'extension PowerShell, cette méthode vous permet de connecter un répertoire sous la forme d'un disque sur votre ordinateur et de la naviguer à l'aide des commandes appropriées: Dir, CD, etc. Cette méthode nécessite d'installer un module supplémentaire de CodePlex;
• À l'aide des CMDlets Active Directory, il s'agit du moyen le plus pratique de manipuler les objets de répertoire, mais il nécessite également une installation supplémentaire des modules correspondants.

Adsi

Les interfaces de service Active Directory (ADSI) sont familières à tous ceux qui ont essayé d'écrire des scripts dans la langue VBScript. Dans PowerShell, cette interface est mise en œuvre à l'aide de l'adaptateur dit. Lorsque vous spécifiez des supports carrés, le nom de l'adaptateur (ADSI) et le chemin d'accès à l'objet dans le répertoire de requête LDAP (Protocole d'accès au répertoire léger - le protocole de travail avec des répertoires, qui prend en charge la fois AD), nous avons accès à un objet de le répertoire et peuvent également appeler des méthodes informatiques.

Par exemple, soyez connecté à l'un des conteneurs de répertoires et créez un nouveau compte d'utilisateur.

$ Objou \u003d "LDAP: // mydc: 389 / ou \u003d CTO, DC \u003d Employés, DC \u003d TestDomain, DC \u003d local"

Donc, maintenant, nous avons une variable $ objou contient des informations sur le conteneur (noms de variables dans PowerShell Démarrer à partir de l'icône Dollar).

Appeler la méthode Créer. Et créer un nouvel utilisateur dans le conteneur:

$ Objuser \u003d $ objou.create ("utilisateur", "cn \u003d dmitry sotnikov")

Maintenant, nous pouvons définir divers attributs:

$ objuser.put ("samaccompountName", "dsotnikov")

Enfin, nous spécifions le répertoire que ces modifications doivent être appliquées:

$ objuser.settinfo ()

Les avantages de l'utilisation de l'adaptateur ADSI sont les suivants:

• sa présence dans n'importe quel powerShell de livraison. Si vous avez installé PowerShell et qu'il y a un répertoire avec lequel vous devez travailler - vous avez tout ce dont vous avez besoin;
• appliquez une approche proche de VBScript. Si vous avez une riche expérience avec le répertoire de la langue de scénario VBScript ou à Annexes.net, vous pouvez vous sentir en toute confiance en utilisant cette approche.

Malheureusement, la méthode a des défauts:

• la difficulté est la manière la plus difficile de travailler avec le répertoire. Écrivez la voie à l'objet sous la forme d'une demande LDAP est non passionnée. Pour tout travail avec des attributs, vous devez spécifier leurs noms internes. Il est donc nécessaire de rappeler que l'attribut indiquant la ville de la ville s'appelle non pas "ville", mais "L", etc.;
• valkness - comme le montre l'exemple, l'opération la plus simple de créer un compte occupe au moins quatre lignes, y compris les opérations de service pour la connexion au conteneur et l'application de modifications. Ainsi, même des opérations relativement simples deviennent similaires à des scénarios complexes.

Fournisseur de publicité

PowerShell vous permet de représenter divers systèmes sous la forme de disques supplémentaires de l'ordinateur à l'aide des fournisseurs dites. Par exemple, la livraison PowerShell comprend un fournisseur de registre et nous pouvons passer au registre à l'aide de commandes CD et AIR préférées (pour les amateurs UNIX, l'équipe LS est également prise en charge).

Le fournisseur Active Directory n'est pas dans PowerShell, mais vous pouvez l'installer, aller au site Web du projet PowerShell Extensions - PowerShell Community Extensions: http://www.codepleplex.com/powershellcx.

Ce projet S. open sourceCe qui ajoute un grand nombre d'équipes au système PowerShell et, en outre, définit le fournisseur de publicité.

Utilisation du fournisseur Active Directory

Après avoir installé des extensions en tapant get-PSDrive, nous voyons que le disque est ajouté au répertoire Active actuel.

Nous pouvons maintenant accéder à ce répertoire en tapant un CD et en spécifiant le nom de domaine, et dans n'importe quel conteneur, utilisez la commande DIR pour voir son contenu.

De plus, vous pouvez appeler d'autres commandes de gestion de fichiers familiers (par exemple, Del).

Les avantages sans-sommets de l'utilisation du fournisseur peuvent être attribués:

le naturel de la représentation de la structure de l'annuaire est le répertoire publicitaire par son hierarchychychychychnychychny et est similaire au système de fichiers;

la commodité de la recherche d'objets est d'appliquer CD et Dir beaucoup plus pratique que de faire une requête dans LDAP.

Les inconvénients sont frappants:

• la complexité de la modification des objets - le fournisseur aide à atteindre facilement l'objet, mais à changer quelque chose, nous devons à nouveau utiliser tous les mêmes répertoires que dans la méthode ADSI, et pour cela, vous devez utiliser à un niveau de service bas méthodes et attributs AD;
• nécessité installation supplémentaire - le fournisseur n'est pas inclus dans PowerShell et il est nécessaire de télécharger et d'installer des extensions PowerShell;
• origine de troisième jour - Les extensions PowerShell ne sont pas un produit Microsoft. Ils sont créés par les passionnés de projet. Vous êtes libre de les utiliser, mais le support technique devra contacter Microsoft, mais sur le site du projet.

AD CMDlets

Outre le fournisseur décrit ci-dessus, il existe un ensemble de cmdlets pour fonctionner avec une annonce (souvent appelé Admdlets AD CMDlets ou QAD), disponible à partir de http://www.quest.com/activerres_server/Arms.aspx.

Les camcles comprennent des verbes standard d'opérations (get-, ensemble, renommée, supprimer -, nouveau, bougeoir et les noms avec qad préfixe (-qaduser, -qadgroup, -qadcomputer, -qadObject).

Par exemple, pour créer un nouvel utilisateur de lecture, vous devrez exécuter une telle commande:

Les avantages de cette approche sont les suivants:

• facile - L'utilisation de CMDlets masques la complexité du répertoire, ses régimes et des attributs internes. Vous travaillez avec des objets d'annuaire au niveau des noms d'objet compréhensibles (utilisateur, groupe, ordinateur), leurs propriétés (nom, mot de passe, ville, service) et action sur eux (obtenez, définissez, supprimez, déplacez-vous, neuf);
• brefness and Expressivité - Comme nous l'avons vu, la plupart des actions utilisant des CMDlets peuvent être exprimées sous la forme d'opérations simples et naturelles d'une ligne.

• le besoin d'installation supplémentaire - CMDlets, comme le fournisseur, ne sont pas inclus dans PowerShell et vous devez télécharger et installer la bibliothèque appropriée;
• origine de troisième jour - CMDlets pour travailler avec AD ne sont pas un produit de Microsoft. Ils sont créés par Microsoft Partner - Quest Software. Vous êtes libre de les appliquer, mais le support technique devra contacter Microsoft, mais sur les forums Active Directory sur le site Web PowerGui.org.

À notre avis, ces inconvénients avec plus de compensation de la simplicité et de la naturalité utilisent, de sorte que exemples pratiques Sera donné en utilisant cette approche particulière.

Gestion de Active Directory.

Voyons comment PowerShell vous permet d'effectuer des opérations de base pour travailler avec l'annuaire d'annonces:

• recevoir les informations;
• changer de propriétés;
• travailler avec des groupes;
• créer de nouveaux objets;
• changer la structure du répertoire

Recevoir les informations

L'obtention d'informations est effectuée dans PowerShell à l'aide des cmdlets Geti Glagol.

Par exemple, pour obtenir une liste de tous les utilisateurs, Score:

Pour les groupes:

Pour les enregistrements d'ordinateurs:

Si vous n'avez pas besoin de tous les enregistrements, mais certains spécifiques, vous pouvez les choisir avec les paramètres de commande.

Obtenir une liste des utilisateurs

Tous les groupes des utilisateurs du conteneur:

Get-Qadgroup -Searchroot Scorpio.Local / Utilisateurs

Tous les utilisateurs du service commercial Office de Moscou, dont les noms commencent sur la lettre A:

Get-Qaduser -City Moscou -Department Sales -Name A *

Dans le même temps, vous pouvez dire PowerShell'y, dans quelle forme vous souhaitez voir les informations reçues.

Tableau avec noms, villes et départements des employés:

Get-Qaduser | Nom de la table format, ville, département

La même chose avec le tri par villes:

Get-Qaduser | Trier la ville | Format-Table DisplayName, Ville, Département

Valeurs de tri et sélection des champs de sortie

Pour la visualisation de la liste des mêmes informations, nous utilisons simplement la commande de liste de format:

Get-Qaduser | Nom de la liste de formats, Ville, Département

Informations d'exportation vers le fichier CSV (valeurs séparées par des virgules - valeurs via une virgule):

Get-Qaduser | Sélectionnez Nom, Ville, Département | Users with-csv.csv

Créez un rapport au format HTML:

Get-Qaduser | Sélectionnez Nom, Ville, Département | ConvertTo-HTML | Utilisateurs de fichiers.html

Ainsi, une ligne d'une commande simple PowerShell vous permet de créer des rapports complexes dans un format pratique pour vous.

PowerShell vous permet de modifier les attributs de l'ensemble
Entrées d'une commande

Changer les propriétés

Après avoir maîtrisé des informations de l'annuaire, il est temps de changer quelque chose.

Les propriétés des objets peuvent être manipulées à l'aide des commandes de consigne.

Par exemple, changez mon téléphone:

Set-Qaduser 'Dmitry Sotnikov' -Phone '111-111-111'

Mais, bien sûr, les changements énormes sont plus intéressants. Pour ce faire, nous pouvons utiliser le convoyeur PowerShell, c'est-à-dire de recevoir une liste d'objets dont vous avez besoin à l'aide des commandes Get- et de les envoyer à la commande Définir pour apporter des modifications.

Par exemple, notre bureau Perm s'est déplacé dans une nouvelle pièce. Prenez tous les utilisateurs de Perm et attribuez-les nouveau numéro Téléphoner:

Get-Qaduser -City Perm | Set-Qaduser -PhonenNumber '+ 7-342-1111111'

Pour des manipulations plus complexes, vous pouvez utiliser la cmdlet foreach-objet. Par exemple, chaque utilisateur attribuera une description composée de son département et de la ville:

Get-Qaduser | Object foreach (Set-Qaduser $ _ -Description (S_.City + "+ $ _. Département))

La variable $ dans cet exemple indique l'objet actuel de la collection.

PowerShell offre des possibilités de travail pratique.
Avec des groupes d'utilisateurs

Travailler avec des groupes

Travailler avec des groupes et des membres en eux est une autre opération de masse que vous souhaitez souvent automatiser. PowerShell offre une telle opportunité.

Obtenir des membres du groupe est fabriqué à l'aide de la cmdlet Get-QadGroupmember:

Get-Qadgrubmembermembermembermembermember

Ajoutez un objet au groupe est également facile:

Add-Qadgroupmember Scorpio \\ Gestionnaires -Member Dsotnikov

De même, le retrait du groupe est effectué à l'aide des cmdlets Supprimer-QadGroupMembermembermembergne.

Mais, bien sûr, les manipulations de masse sont les plus utiles. Ajoutez tous les gestionnaires au groupe approprié:

Get-qaduser -title manager | Add-qadgroupmember scorpio \\ gérants

Copiez l'adhésion au groupe:

Get-QadGroupMember Scorpio \\ Gestionnaires | Add-QadGroupmember Scorpio \\ Managers_copy_copy

Utilisez le filtre pour copier non tous les membres du groupe, mais seulement ceux qui sont responsables certain critère (Par exemple, situé dans la région de droite):

Get-QadGroupMember Scorpio \\ Gestionnaires | Où ($ _. City -eq 'Ekaterinburg') | Add-qadgroupmember scorpio \\ ekaterinburg_managers

Veuillez noter comment nous avons filtré les utilisateurs à l'aide de la commande de condition et de condition logique ( opérateur logique -EQ est un opérateur d'égalité à PowerShell, de l'anglais.Équivaut à).

Créer des objets

Créer des objets comme nous l'avons déjà vu, effectué par des équipes nouvelles:

New Qaduser -parentContainer Scorpio.Local / employés -Name 'Dmitry Sotnikov'

NEW-QADGROUP -PARENTCONTAINER SCORPIO.LOCAL / EMPLOYÉS -NAME - Sécurité de type «Directeurs» -Scope Global

Vous pouvez installer tout autre attribut dans le processus de création d'un enregistrement:

New Qaduser -parentContainer Scorpio.Local / employés -Name 'Nom' Dmitry Sotnikov '-samaccountName Dsotnikov -City' Saint-Petersburg '-password' [Email protégé]’

Pour activer l'enregistrement, envoyez-le simplement à la convoyeur dans Acable-Qaduser (n'oubliez pas de définir le mot de passe - sinon l'opération ne passera pas):

New Qaduser -parentContainer Scorpio.Local / employés -Name 'Dmitry Sotnikov' -password ' [Email protégé]'| Activer-qaduser.

Import-csv new_users.csv | Objet foreach (New-Qaduser -parentContainer Scorpio.Local / Utilisateurs -Name ($ _. Familia + ',' + $ _. IMYA) -SAMAccountName ($ _. Imya + $ _. Familia) -Department $ _. -Tither $ _. Titre)

Veuillez noter que nous sommes à la volée sur le nom du compte à partir du nom de famille et du nom d'utilisateur.

Exemple d'utilisation du fichier d'importation
Enregistrer

Changer la structure du répertoire

Enfin, bien sûr, vous pouvez gérer la structure du répertoire.

Par exemple, vous pouvez créer de nouveaux conteneurs:

New-QadObject -Type OrganisationUnit -parentContainer Scorpio.Local -Name Newou

et déplacer des objets en eux un par un:

Move-QadObject myserver -o scorpio.local / serveurs

ou en gros:

Get-qaduser -disabled | Move-QadObject -o scorpio.local / désactivé

Fichier d'importation et créer de nouveaux comptes

Nous pouvons facilement sélectionner des comptes qui satisfont
un certain critère et les déplacer dans un autre conteneur

Et beaucoup plus

MMA a examiné uniquement une petite partie des scripts de gestion d'un actif. Pour obtenir une liste complète des CMDlets pour AD, exécutez la commande:

Get-Command * -QAD *

Pour obtenir un certificat pour une équipe:

Get-Help Get-QAnser

Pour savoir quelles propriétés il y a un objet objectif avec la commande:

Get-User | Get-Membre.

Les fonctionnalités PowerShell sont pratiquement infinies, mais en même temps les trouvent assez.

Conclusion

KCAK Nous avons vu PowerShell est un excellent Active Directory. Une partie des propriétés (ADSI) est disponible dans n'importe quel paramètre PowerShell. Certains (fournisseur et cmdlets) nécessitent des modules supplémentaires. Tous offrent d'énormes possibilités d'automatiser la gestion de votre annuaire d'entreprise et de réduire ainsi les risques, de se débarrasser de la routine et d'accroître votre efficacité au travail.

L'essentiel est que ces technologies sont déjà disponibles et capables de vous aider dans l'administration de systèmes confiés aujourd'hui. En conclusion, nous citons l'administrateur système CJSC Evrasfinance CJSC Vasily Guseva: «Dans notre société, ainsi que partout, Active Directory est l'un des services les plus utilisés et les plus critiques. Avec PowerShell et AD CMDlets, de nombreuses tâches sont devenues plus faciles à effectuer à travers ligne de commandeplutôt que via ABUC (utilisateurs d'active Directory et ordinateurs. - Environ. rouge.). Jamais toujours Automatisation Active Directory était si facile et accessible. "

Active Directory est un service de gestion des services. Ils sont beaucoup meilleure alternative Groupes locaux et vous permettent de créer des réseaux informatiques avec une gestion efficace et une protection de données fiable.

Si vous n'avez pas rencontré plus tôt avec le concept d'Active Directory et ne savez pas comment fonctionnent ces services, cet article est pour vous. Trouvons ce que ce concept signifie que les avantages de ces bases de données et comment les créer et les configurer pour l'utilisation initiale.

Active Directory est un moyen très pratique de contrôle du système. Avec Active Directory, vous pouvez gérer efficacement les données.

Ces services vous permettent de créer une seule base de données exécutant des contrôleurs de domaine. Si vous possédez une entreprise, dirigez le bureau, en général, contrôlez les activités de nombreuses personnes qui doivent être combinées, vous serez utile à un tel domaine.

Tous les objets sont inclus dans les ordinateurs, les imprimantes, les télécopies, les comptes d'utilisateurs, etc. La quantité de domaines sur laquelle se trouve les données est appelée "forêt". La base Active Directory est un environnement de domaine dans lequel le nombre d'objets peut atteindre 2 milliards. Imaginez ces échelles?

C'est-à-dire avec l'aide d'une telle "forêt" ou de base de données, vous pouvez connecter un grand nombre d'employés et d'équipements au bureau et sans contraignation à la place - les autres utilisateurs peuvent être connectés aux services, par exemple, de la Bureau de la société dans une autre ville.

De plus, plusieurs domaines sont créés dans les services Active Directory - plus la société est nécessaire pour contrôler sa technologie dans la base de données.

Ensuite, lors de la création d'un tel réseau, un domaine de contrôle est déterminé et même avec la présence ultérieure d'autres domaines, la première demeure reste «parentale» - c'est-à-dire qu'elle a un accès complet à la gestion de l'information.

Où sont stockés ces données et quelle est l'existence de domaines? Pour créer Active Directory, des contrôleurs sont utilisés. Habituellement, il y a deux - si quelque chose se passe avec un, les informations seront enregistrées sur le second contrôleur.

Une autre option d'utilisation de la base est si, par exemple, votre entreprise coopère de l'autre et que vous devez effectuer un projet général. Dans ce cas, il peut être nécessaire d'accéder aux personnalités étrangères vers les fichiers de domaine, et vous pouvez ici configurer une sorte de "relation" entre deux "forêts" différentes, ouvrir l'accès aux informations requises et non risquer la sécurité des autres données.

En général, Active Directory est un moyen de créer une base de données dans une certaine structure, quelle que soit sa taille. Les utilisateurs et la technique entière sont combinés dans une "forêt", des domaines sont créés qui sont placés sur des contrôleurs.

Il est toujours conseillé de clarifier - le travail des services est possible exclusivement sur des appareils avec systèmes de serveur Les fenêtres. De plus, 3-4 serveurs DNS sont créés sur les contrôleurs. Ils servent la principale zone de domaine et, dans le cas où l'un d'entre eux échoue, d'autres serveurs sont remplacés.

Après résumé Active Directory pour Dummies, vous êtes naturellement intéressé par la question - pourquoi changer le groupe local dans une base de données entière? Naturellement, le domaine des opportunités est largement plus large et de trouver d'autres différences de services de données pour le contrôle du système, considérons leurs avantages plus en détail.

Avantages de Active Directory.

PLUS Active Directory Suivant:

1. En utilisant une ressource pour l'authentification. Avec cette situation, vous devez ajouter tous les comptes sur chaque PC nécessitant un accès à informations générales. Plus les utilisateurs et la technologie, plus il est difficile de synchroniser ces données entre eux.

Ainsi, lorsque vous utilisez des services avec une base de données, des comptes sont stockés à un moment donné et les modifications entrent en vigueur immédiatement sur tous les ordinateurs.

Comment ça fonctionne? Chaque employé, arrivant au bureau, lance le système et se connecte à son compte. La demande d'entrée sera automatiquement servie sur le serveur et l'authentification se produira à travers elle.

Quant à un certain ordre dans des enregistrements conducteurs, vous pouvez toujours diviser les utilisateurs au groupe - le "département du personnel" ou "comptabilité".

Il est encore plus facile dans ce cas de fournir un accès à l'information - si vous devez ouvrir un dossier pour les travailleurs d'un département, vous le faites via une base de données. Ils ont accès au dossier requis avec les données, tandis que les documents restants restent fermés.

1. Contrôler sur chaque participant à la base de données.

Si dans le groupe local, chaque participant est indépendant, il est difficile de le contrôler d'un autre ordinateur, puis dans les domaines, vous pouvez établir certaines règles répondant aux politiques de la société.

En tant qu'administrateur système, vous pouvez définir les paramètres d'accès et les paramètres de sécurité, puis appliquez-les pour chaque groupe d'utilisateurs. Naturellement, en fonction de la hiérarchie, un groupe peut être déterminé plus de paramètres difficiles, d'autres offrent un accès à d'autres fichiers et actions dans le système.

De plus, lorsqu'une nouvelle personne tombe dans la société, son ordinateur recevra immédiatement l'ensemble souhaité des paramètres où les composants sont inclus pour le travail.

1. Université dans l'installation de logiciels.

Au fait, sur les composants - quand assistance active Répertoire Vous pouvez attribuer des imprimantes installées programmes requis Immédiatement à tous les employés, définissez des paramètres de confidentialité. En général, la création d'une base de données optimisera de manière significative le travail, surveillera la sécurité et combinera les utilisateurs pour optimiser l'efficacité du travail.

Et si la société exploite un utilitaire distinct ou des services spéciaux, ils peuvent être synchronisés avec des domaines et simplifier l'accès. Comment? Si vous combinez tous les produits utilisés dans la société, l'employé n'aura pas besoin d'entrer différentes publications et mots de passe pour entrer chaque programme - ces informations seront courantes.

Maintenant, lorsque les avantages et la signification d'utiliser Active Directory sont compréhensibles, envisagons le processus d'installation des services spécifiés.

Utilisez la base de données sur Windows Server 2012

L'installation et la configuration de Active Directory est une chose très difficile et c'est aussi plus facile qu'il n'y paraît à première vue.

Pour télécharger les services, il faut d'abord être effectué comme suit:

1. Modifiez le nom de l'ordinateur: cliquez sur "Démarrer", ouvrez le panneau de commande, l'élément "Système". Sélectionnez "Modifier les paramètres" et dans les propriétés en face de la chaîne "Nom de l'ordinateur" Cliquez sur "Modifier", entrez la nouvelle valeur pour le PC principal.
2. Recharger à la demande du PC.
3. Définissez les paramètres réseau comme celui-ci:
   • Grâce au panneau de commande, ouvrez le menu avec réseaux et accès partagé.
   • Ajustez les paramètres de l'adaptateur. Touche droite, cliquez sur "Propriétés" et ouvrez l'onglet "Réseau".
   • Dans la fenêtre de la liste, cliquez sur le protocole Internet au numéro 4, cliquez à nouveau sur "Propriétés".
   • Entrez les paramètres requis, par exemple: adresse IP - 192.168.10.252, masque de sous-réseau - 255.255.255.0, principal sublude - 192.168.10.1.
   • Dans la ligne "Serveur DNS préféré", spécifiez l'adresse du serveur local, dans "Alternative ..." - d'autres adresses de serveurs DNS.
   • Enregistrez les modifications et fermez les fenêtres.

Définissez les rôles Active Directory comme celui-ci:

1. Ouvrez le "Gestionnaire de serveur" à travers le début.
2. Dans le menu, sélectionnez Ajouter des rôles et des composants.
3. Le maître commencera, mais la première fenêtre avec la description peut être ignorée.
4. Marquez la chaîne «Installation des rôles et des composants», continuez.
5. Sélectionnez votre ordinateur pour mettre Active Directory dessus.
6. Dans la liste, sélectionnez le rôle que vous souhaitez télécharger - pour votre cas, ce sont des "Services de domaine Active Directory".
7. Apparaîtra petite fenêtre Avec la charge de téléchargement des composants dont vous avez besoin - prenez-la.
8. Après avoir été proposé d'installer d'autres composants - si vous n'en avez pas besoin, ignorez simplement cette étape en cliquant sur "Suivant".
9. L'assistant d'installation affichera une fenêtre avec les descriptions des services que vous êtes installés - lisez et passez à autre chose.
10. Il existe une liste de composants que nous allons installer - vérifier si tout est vrai, et si oui, cliquez sur la touche appropriée.
11. Lorsque le processus est terminé, fermez la fenêtre.
12. C'est tout - les services sont téléchargés sur votre ordinateur.

Configuration Active Directory

Pour configurer le service de domaine, vous devez procéder comme suit:

• Exécutez la séquence de sélection de configuration.
• Cliquez sur le pointeur jaune en haut de la fenêtre et sélectionnez "Améliorer le rôle de serveur dans le contrôleur de domaine".
• Cliquez sur Ajouter une nouvelle "forêt" et créer un nom pour le domaine racine, puis cliquez sur "Suivant".
• Spécifiez les modes de la "forêt" et de domaine - le plus souvent qu'ils coïncident.
• Proposez un mot de passe, mais assurez-vous de vous en souvenir. Aller plus loin.
• Après cela, vous pouvez voir un avertissement que le domaine n'est pas délégué et l'offre de vérifier le nom de domaine - vous pouvez ignorer ces étapes.
• Dans la fenêtre suivante, vous pouvez modifier le chemin d'accès aux répertoires avec des bases de données - faites-le si elles ne vous conviennent pas.
• Maintenant, vous verrez tous les paramètres qui vont installer - voir s'ils les ont choisi correctement et continuent.
• L'application vérifiera si les conditions préalables sont effectuées et s'il n'y a pas de commentaire, ou ils ne sont pas critiques, appuyez sur "Installer".
• Après avoir terminé l'installation du PC surchargé de manière indépendante.

Vous pouvez également être intéressé par comment ajouter un utilisateur à la base de données. Pour ce faire, utilisez le menu Active Directory, que vous trouverez dans la section Administration du panneau de configuration ou utilisez le menu Paramètres de la base de données.

Pour ajouter un nouvel utilisateur, cliquez sur clé de droite Au nom du domaine, sélectionnez "Créer", après la "Division". Vous apparaîtrez devant vous, où vous devez entrer le nom de la nouvelle unité - il sert de dossier dans lequel vous pouvez collecter des utilisateurs dans différents départements. De la même manière, vous créez plus tard plusieurs autres unités et placez avec compétence tous les employés.

Ensuite, lorsque vous avez créé le nom de l'appareil, cliquez dessus avec le bouton droit de la souris et sélectionnez "Créer", après - "Utilisateur". Maintenant, il reste seulement d'entrer les données nécessaires et de définir les paramètres d'accès à l'utilisateur.

Lorsqu'un nouveau profilé est créé, cliquez dessus en sélectionnant le menu contextuel et ouvrez les «propriétés». Dans l'onglet "Compte", supprimez la marque sur le "bloc ...". C'est tout.

La conclusion générale est active - Active Directory est un outil puissant et utile pour le contrôle du système, qui aidera à combiner tous les ordinateurs des employés dans une commande. Avec l'aide des services, vous pouvez créer une base de données protégée et optimiser de manière significative le travail et la synchronisation des informations entre tous les utilisateurs. Si les activités de votre entreprise et de tout autre lieu de travail sont liées aux machines informatiques électroniques et au réseau, vous devez combiner des comptes et surveiller le travail et la confidentialité, définir une base de données basée sur Active Directory deviendra une excellente solution.

Après avoir installé Active Directory, vous pouvez procéder à la création d'objets et à les contrôler.

6.5.1. Créer des divisions et des objets en eux

6.5.1.1. Création de divisions organisationnelles (OP)

OP peut créer dans le domaine, l'objet du contrôleur de domaine ou une autre op (Fig. 6.3). Dans l'OP créé, vous pouvez ajouter des objets.

Pour créer un OP, il est nécessaire d'avoir le pouvoir d'ajouter des divisions au parent op, à un domaine ou au nœud du contrôleur de domaine, où l'OP sera créé. Par défaut, de tels pouvoirs sont donnés au groupe Administrateurs.

personnes).

Vous ne pouvez pas créer un op dans la plupart des conteneurs standard

nerkov, tels que des ordinateurs ou des utilisateurs.

Figure. 6.3. Département OP de l'OTI dans le nœud du contrôleur de domaine

OP sont créés pour simplifier l'administration du réseau. La structure de l'OP devrait être basée sur tâches spécifiques enfer-

ministère. Vous pouvez facilement modifier la structure de l'opération ou déplacer des objets entre l'op.

OP sont créés dans les cas suivants:

fournir des pouvoirs administratifs à d'autres utilisateurs ou administrateurs;

grouper des objets sur lesquels des opérations administratives similaires sont effectuées; Cela facilite la recherche de ressources réseau similaires et de leur service - afin que vous puissiez combiner tous les objets d'une opUtilisateur pour les employés temporaires;

pour limiter la visibilité des ressources réseau au stockage Active Directory, les utilisateurs ne verront que les objets à quel accès; Les autorisations pour OP peuvent être facilement modifiées en limitant l'accès à des informations confidentielles.

6.5.1.2. Ajouter des objets en op

Pour ajouter des objets à l'OP, vous devez y avoir avec une autorité appropriée. Par défaut, ces droits fournis au groupe Administrateurs. Les variétés des objets créés dépendent des règles du schéma utilisé par l'assistant ou le snap. Certains attributs d'objet peuvent être définis qu'après sa création.

6.5.2. Objets de contrôle Active Directory

La gestion des objets Active Directory comprend la recherche d'objets, les modifier, la destruction ou le mouvement. Dans les deux derniers cas, vous devez avoir des autorisations appropriées pour l'objet ou pour l'OP, où vous déplacez l'objet. Par défaut, tous les membres du groupe Administrateurs ont ces pouvoirs.

6.5.2.1. Recherche d'objets

Le catalogue global (GC) contient une réplique partielle de l'ensemble du catalogue et stocke des informations sur tous les objets du domaine ou de l'arborescence. Par conséquent, l'utilisateur peut trouver un objet quel que soit son emplacement dans le domaine ou la forêt. Le contenu du GC est automatiquement généré par des informations provenant des domaines qui composent le répertoire.

Pour rechercher des objets, ouvrez le logement enfichable, le raccourci est dans le groupe d'outils programmés. Dans l'arbre de la console, cliquez avec le bouton droit de la souris

utilisez le bouton Domaine ou OP Mouse et sélectionnez la commande Rechercher (Rechercher) dans le menu contextuel. Une boîte de dialogue s'ouvre

(Recherche) (Fig. 6.4).

Figure. 6.4. Trouver la boîte de dialogue

Si vous révélez le menu contextuel de l'objet Dossier partagé (dossier partagé)et choisissez le commandement

(Rechercher), la recherche de Windows Explorer sera lancée et vous pouvez rechercher dossier partagé Fichiers et sous-dossiers.

La boîte de dialogue Rechercher inclut les options de recherche dans le GC, vous permettant de trouver des comptes, des groupes et des imprimantes.

6.5.2.2. Modifier les valeurs d'attribut

et suppression des objets

Pour modifier les valeurs d'attribut, ouvrez l'AC

utilisateurs et ordinateurs de répertoire Tive et sélectionnez une instance d'objet

cette. Dans le menu Action, sélectionnez Comprieurs. Dans la boîte de dialogue Propriétés

ecta Modifier les attributs d'objet désirés. Ensuite, apportez des amendements à la description de l'objet, par exemple, modifiez l'objet utilisateur de modifier le nom, l'emplacement et adresse électronique Utilisateur. Si des objets ne sont plus nécessaires, supprimez-les à des fins de sécurité: ouvrir l'équipement des utilisateurs de répertoire et

Les ordinateurs mettent en surbrillance une instance de l'objet étant supprimée, puis dans le menu Outils, sélectionnez Supprimer

(Effacer).

6.5.2.3. Déplacer des objets

Dans le stockage Active Directory, vous pouvez déplacer des objets, par exemple, entre OP pour refléter les modifications de la structure de l'entreprise lorsque l'employé est transféré d'un département à

goy. Pour ce faire, ouvrir le claquement Utilisateurs Active Directory et Com-

puters, sélectionnez l'objet en mouvement, sélectionnez Déplacer (déplacer) et

spécifiez le nouvel emplacement de l'objet.

6.5.3. Contrôle d'accès aux objets Active Directory

Pour contrôler l'accès aux objets Active Directory, un modèle de protection orienté objet est utilisé, un tel modèle de protection NTFS.

Chaque objet Active Directory dispose d'un descripteur de sécurité qui détermine qui a le droit d'accéder à l'objet et au type d'accès. Windows Server utilise des descripteurs de sécurité pour contrôler l'accès aux objets.

Pour simplifier l'administration, il est possible de grouper des objets avec les mêmes exigences de sécurité dans l'OP et d'attribuer des autorisations d'accès pour l'ensemble de l'OP et de tous les objets.

6.5.3.1. Gestion des autorisations Active Directory

Les autorisations Active Directory fournissent une protection des ressources, vous permettant de gérer l'accès à des instances d'objets ou d'attributs d'objet et de déterminer la vue de l'accès fourni.

Protection Active Directory

L'administrateur ou le propriétaire de l'objet doit attribuer un objet d'autorisation d'accès avant que les utilisateurs puissent accéder à cet objet. Windows Server stocke la liste de contrôle d'accès (liste de contrôle d'accès, ACL) pour chaque

l'objet Active Directory.

L'objet ACL inclut une liste d'utilisateurs autorisés à accéder à l'objet, ainsi qu'à un ensemble d'objets admissibles.

Vous pouvez utiliser des autorisations pour la destination autorité administrative un utilisateur ou un groupe spécifique en relation avec OP, la hiérarchie de l'OP ou objet séparé Sans nommer des permis administratifs pour

objets de répertoire anctif.

Autorisations d'accès à l'objet

Dépend du type d'objet - par exemple, la résolution du mot de passe de réinitialisation est admissible pour les objets d'utilisateur, mais pas pour les objets

L'ordinateur.

L'utilisateur peut être membre de plusieurs groupes avec différentes autorisations pour chacune d'elles fournissant différents niveaux Accès aux objets. Lorsque vous attribuez la permission d'accéder à l'objet, un membre du groupe, doté d'autres autorisations, les droits effectifs de l'utilisateur se développeront à partir de ses autorisations et de ses autorisations du groupe.

Vous pouvez fournir ou annuler des autorisations. Permis annulés pour les utilisateurs et les groupes de permis d'émission plus prioritaire.

Si l'utilisateur est interdit d'accéder à l'objet, il ne sera pas accès à celui-ci même en tant que membre du groupe plénipotentiaire.

Affectation des autorisations Active Directory

Configurer les autorisations d'objets et leurs attributs permettent d'outillage Utilisateurs et ordinateurs Active Directory. Nommer

les solutions peuvent également être sur l'onglet. Sécuritéla boîte de dialogue Propriétés de l'objet.

Pour remplir la plupart des tâches administratives, il existe suffisamment d'autorisations standard.

Alexander Emelyanov

Administrer des comptes dans le domaine Active Directory

L'une des tâches les plus importantes de l'administrateur est de gérer les comptes locaux et de domaine: audit, citation et délimitation des droits des utilisateurs en fonction de leurs besoins et de leurs politiques de l'entreprise. Qu'est-ce qui peut offrir Active Directory à cet égard?

Dans la poursuite du cycle de cycle Active Directory aujourd'hui, nous parlerons du lien central du processus d'administration - Gestion des données de comptabilité d'utilisateurs dans le domaine. Nous allons le prendre en compte:

• créer des comptes et une gestion d'entre eux;
• types de profils utilisateur et de leur utilisation;
• groupes de sécurité dans les domaines publicitaires et leurs combinaisons.

En fin de compte, vous pouvez appliquer ces documents pour créer une infrastructure de travail ou un raffinement d'un existant qui répondra à vos exigences.

Je dirai que le sujet est étroitement lié à l'application des politiques de groupe à des fins administratives. Mais en raison de l'immensité du matériau dédié à eux, elle sera divulguée dans l'article suivant.

Connaissance avec Active Directory - Utilisateurs et ordinateurs

Une fois que vous avez installé votre premier contrôleur dans le domaine (vous organisez réellement un domaine), cinq nouveaux éléments apparaissent dans la section Administration (voir Fig. 1).

Pour gérer les objets AD, Active Directory est utilisé - Utilisateurs et ordinateurs (utilisateurs et ordinateurs ADUC-AD, voir Fig. 2), ce qui peut également être appelé dans le menu "Exécuter" au moyen de DSA.MSC.

En utilisant ABUC, vous pouvez créer et supprimer des utilisateurs, attribuer des scripts de connexion au compte, gérer l'adhésion dans les groupes et les stratégies de groupe.

Il existe également la possibilité de gérer des objets AD sans accéder directement au serveur. Il fournit le package adminpak.msi, situé dans le répertoire% System_Drive% \\ Windows \\ System32. En le tournant sur sa voiture et s'abandonnait les droits de l'administrateur de domaine (s'il n'y avait pas non plus), vous pouvez administrer le domaine.

Lors de l'ouverture de l'ADUC, nous verrons la branche de notre domaine contenant cinq conteneurs et unités d'organisation.

• Intégré.. Cela contient des groupes locaux intégrés sur n'importe quelle machine de serveur, y compris les contrôleurs de domaine.
• Utilisateurs et ordinateurs. Ce sont des conteneurs dans lesquels par défaut utilisateurs, groupes et comptes compacts d'ordinateurs lors de l'installation du système sur Windows NT. Mais pour créer et stocker de nouveaux comptes, il n'est pas nécessaire d'utiliser uniquement ces conteneurs, vous pouvez créer un utilisateur même dans un conteneur de domaine. Lorsque vous allumez l'ordinateur sur le domaine, il apparaît dans le conteneur d'ordinateurs.
• Contrôleurs de domaine.. Cette unité organisationnelle (unité organisationnelle), contenant les contrôleurs de domaine par défaut. Lors de la création d'un nouveau contrôleur, il apparaît ici.
• ÉtrangerSécuritéprincipaux.. Ceci est le conteneur par défaut pour les objets des domaines de confiance externe.

Il est important de se rappeler que les politiques de groupe sont liées exclusivement au domaine, ou ou sur site. Cela doit être pris en compte lors de la création d'une hiérarchie administrative de votre domaine.

Nous entrons dans un ordinateur dans le domaine

La procédure est effectuée directement sur la machine locale que nous voulons vous connecter.

Choisissez "Mon ordinateur -\u003e Propriétés -\u003e Nom de l'ordinateur," Appuyez sur le bouton "Modifier" et dans le menu "Membre" Sélectionnez "Domaine". Nous entrons dans le nom de domaine dans lequel nous souhaitons ajouter notre ordinateur, puis nous prouvons que nous avons les droits d'ajouter des postes de travail au domaine en saisissant les données d'authentification administrateur de domaine.

Créer un utilisateur de domaine

Pour créer un utilisateur, vous devez sélectionner n'importe quel conteneur dans lequel il se trouvera, cliquez dessus avec le bouton droit de la souris et sélectionnez "Créer -\u003e Utilisateur". L'assistant de création d'utilisateurs s'ouvre. Ici, vous pouvez spécifier une variété de ses attributs, en commençant par le nom d'utilisateur et les cadres de journalisation temporaires dans le domaine et se terminant par les paramètres des services de terminal et de l'accès à distance. À la fin de l'assistant, vous recevrez un nouvel utilisateur de domaine.

Il convient de noter que, dans le processus de création d'un utilisateur, le système peut "raisonner" sur la complexité insuffisante du mot de passe ou de sa brièveté. Vous pouvez atténuer les exigences en ouvrant la stratégie de sécurité de domaine (paramètres de sécurité de domaine par défaut), puis «Paramètres de sécurité -\u003e Stratégies de compte -\u003e Politique de mot de passe.

Devons nous avons créé l'utilisateur Ivan Ivanov dans le conteneur des utilisateurs (nom de connexion de l'utilisateur: [Email protégé]). Si dans les systèmes NT 4, seul le rôle de la décoration jouée, alors dans l'annonce, il fait partie du nom du format LDAP, qui a l'air tout à fait comme ça:

cN \u003d "Ivan Ivanov", CN \u003d "Utilisateurs", DC \u003d "HQ", DC \u003d "LOCAL"

Ici CN - Nom du conteneur, Composant DC - Domain. Description des objets LDAP sont utilisés pour exécuter des scripts WSH (hôtes de script Windows) ou pour les programmes à l'aide du protocole LDAP pour communiquer avec Active Directory.

Pour entrer dans le domaine, Ivan Ivanov devra utiliser le nom au format UPN (Nom du capital universel): [Email protégé] En outre, dans les domaines d'annonce, il sera clair pour écrire le nom dans l'ancien format NT 4 (avant Win2000), dans notre cas HQ \\ Ivanov.

Lors de la création d'un compte d'utilisateur, il est automatiquement attribué à l'identificateur de sécurité (SID, identifiant de sécurité) est un numéro unique par lequel le système et définit les utilisateurs. Il est très important de comprendre, car lorsque vous supprimez un compte, son SID est supprimé et n'est jamais utilisé. Et chaque nouveau compte aura son nouveau SID, c'est pourquoi il ne sera pas en mesure d'obtenir les droits et les privilèges de l'ancien.

Un compte peut être déplacé vers un autre conteneur ou ou, désactiver ou, au contraire, activer, copier ou échanger un mot de passe. La copie est souvent utilisée pour créer plusieurs utilisateurs avec les mêmes paramètres.

Environnement de travail de l'utilisateur

Les informations d'identification stockées centralement sur le serveur permettent aux utilisateurs de s'identifier sans ambiguïté dans le domaine et de recevoir les droits pertinents et l'accès à l'environnement de travail. Tout système d'exploitation Les familles Windows NT sont utilisées pour créer un environnement de travail sur le profil utilisateur de la machine client.

Profil local

Considérez les composants principaux du profil utilisateur:

• Partition de registre correspondant à un utilisateur spécifique («Hive» ou «Hive»).En fait, les données de cette ligne du registre sont stockées dans le fichier NTUSER.DAT. Il est situé dans la% SystemDrive% \\ Documents et Paramètres \\ Nom de nom_sutilisateur, qui contient un profil utilisateur. Ainsi, lorsque l'utilisateur spécifique se connecte dans le système de la section de registre HKEY_CURRENT_USER, la «HIVE» de NTUser.dat est chargée à partir du dossier contenant son profil. Et toutes les modifications apportées aux paramètres de l'environnement utilisateur pour la session seront maintenues dans cette "ruche". Le fichier NTUSER.DAT.LOG est un journal de transaction qui existe pour protéger le fichier NTUSER.DAT. Toutefois, pour l'utilisateur utilisateur par défaut, vous pouvez difficilement le trouver car il s'agit d'un modèle. À ce sujet ensuite. L'administrateur a la possibilité de modifier la "ruche" d'un utilisateur spécifique directement à partir de son environnement de travail. Pour ce faire, à l'aide de l'Éditeur de registre ReeDIT32, il doit charger "HIVE" dans la section HKEY_USERSES, puis après avoir apporté des modifications pour le décharger.
• Dossiers système de fichierscontenant des fichiers de paramètres personnalisés. Ils sont situés dans un catalogue spécial% SystemDrive% \\ Documents et Paramètres \\ Nom, où User_Name est le nom de l'utilisateur connecté. Il est stocké ici les éléments du bureau, les éléments du démarrage, des documents, etc.

Si l'utilisateur entre d'abord dans le système, ce qui suit se produit:

1. Le système vérifie si le profil local de cet utilisateur existe.
2. Après avoir trouvé cela, le système fait référence au contrôleur de domaine dans la recherche d'un profil de domaine par défaut, qui devrait être situé dans le dossier utilisateur par défaut de la ressource partagée NetLogon; Si le système a détecté ce profil, il est copié localement à la machine dans le dossier% SystemDrive% \\ Documents et paramètres avec le nom d'utilisateur, sinon il est copié à partir du système local% SystemDrive% \\ Documents et paramètres \\ Utilisateur par défaut.
3. La session de registre "Hive" utilisateur est chargée dans la section de registre HKEY_CURRENT_USER.
4. Lorsque vous quittez le système, toutes les modifications sont enregistrées localement.

En fin de compte, l'environnement de travail de l'utilisateur est la combinaison de son profil de travail et du profil de tous les utilisateurs, qui contient commun à tous les utilisateurs de cette machine de réglage.

Maintenant quelques mots sur la création d'un profil par défaut pour un domaine. Créez un profil fictif sur votre voiture, configurez-le en fonction de vos besoins avec les exigences de la politique d'entreprise. Ensuite, laissez le système et revenez en tant qu'administrateur de domaine. Sur la ressource Shared NetLogon Server, créez un dossier utilisateur par défaut. Ensuite, à l'aide de l'onglet Profils d'utilisateur de l'applet système (voir Fig. 3) Copiez votre profil dans ce dossier et fournissez les droits d'utiliser le groupe d'utilisateurs de domaine ou tout autre. groupe approprié Sécurité. Tout, le profil par défaut de votre domaine est créé.

Profil transféré

Active Directory comme une technologie flexible et évolutive vous permet de travailler dans un environnement de votre entreprise avec des profils déplacés que nous examinerons plus loin.

Dans le même temps, il conviendra de parler de la redirection des dossiers comme l'une des caractéristiques de la technologie IntelliMirror pour assurer la tolérance aux défaillances et le stockage centralisé des données utilisateur.

Les profils transférés sont stockés sur le serveur. Le chemin d'accès à eux est spécifié dans les paramètres de l'utilisateur de domaine (voir fig. 4).

Si vous le souhaitez, vous pouvez spécifier les profils déplacés pour plusieurs utilisateurs en même temps, en surbrillance plusieurs utilisateurs et dans les propriétés de l'onglet Profile, spécifiez% nom d'utilisateur% au lieu du dossier avec le nom d'utilisateur (voir Fig. 5).

Le processus de première connexion au système qui a un profil déplacé, semblable à celui décrit ci-dessus pour local, à quelques exceptions près.

Tout d'abord, étant donné que le chemin du profil de l'objet utilisateur est spécifié, le système vérifie la présence d'une copie locale mise en cache du profil en voiture, puis tout comme décrit.

Deuxièmement, à la fin, toutes les modifications sont copiées sur le serveur et si les stratégies de groupe ne sont pas spécifiées pour supprimer une copie locale, stockées sur cette machine. Si l'utilisateur a déjà eu une copie de profil local, le serveur et les copies locales du profil sont comparés et combinés.

Technologie IntellImirror dans les systèmes Windows versions récentes Vous permet de rediriger certains dossiers utilisateur, tels que "Mes documents", "Mes images", etc., sur une ressource réseau.

Ainsi, pour l'utilisateur, toutes les modifications apportées sont absolument transparentes. En enregistrant des documents dans le dossier "My Documents", qui sera délibérément redirigé vers la ressource réseau, il ne soupçonnera même pas que tout est enregistré sur le serveur.

Vous pouvez configurer la redirection comme manuellement pour chaque utilisateur et utiliser des stratégies de groupe.

Dans le premier cas, vous devez cliquer sur l'icône "My Documents" sur le bureau ou dans le menu "Démarrer" avec le bouton droit de la souris et sélectionnez Propriétés. Plus loin, tout est extrêmement simple.

Dans le second cas, vous devez ouvrir la stratégie de groupe Ou ou le domaine pour lequel nous souhaitons appliquer la redirection et divulguer la "configuration de l'utilisateur" Hiérarchie -\u003e Configuration de Windows "(voir Fig. 6). Ensuite, la redirection est configurée ou pour tous les utilisateurs ou pour certains groupes de sécurité ou un domaine auquel cette stratégie de groupe sera appliquée.

Utilisation de la redirection de dossiers pour fonctionner avec les profils utilisateur mobiles, vous pouvez par exemple réduire le temps de chargement du profil. Ceci est à condition que le profil de déplacement est toujours chargé du serveur sans utiliser de copie locale.

L'histoire de la technologie de redirection des dossiers serait incomplète sans mentionner des fichiers autonomes. Ils permettent aux utilisateurs de travailler avec des documents même en l'absence d'une connexion réseau. La synchronisation avec des copies de serveurs des documents se produit lorsque l'ordinateur est ensuite connecté au réseau. Un tel système d'organisation sera utile, par exemple, les utilisateurs d'ordinateurs portables travaillant à la fois au sein du réseau local et à la maison.

Les inconvénients des profils mobiles comprennent les éléments suivants:

• il peut y avoir une situation dans laquelle, par exemple, sur le bureau de l'utilisateur, il y aura des étiquettes de certains programmes et sur une autre machine, où il remarquera que le propriétaire d'un profil mobile de tels programmes, respectivement, une partie des raccourcis ne sera pas travail;
• de nombreux utilisateurs ont l'habitude de stocker des documents, ainsi que des photos et même des vidéos sur le bureau, en conséquence, lors du chargement d'un profil déplacé du serveur, un trafic supplémentaire est créé à chaque fois, et le profil lui-même est chargé pendant une très longue temps; Pour résoudre le problème, utilisez les autorisations NTFS pour limiter la préservation de «ordures» sur le bureau;
• chaque fois que l'utilisateur entre dans le système, un profil local est créé pour celui-ci (plus précisément, le profil du serveur est copié localement) et si les machines de travail changent, chacune d'entre elles reste une telle "ordures"; Cela peut être évité en configurant plusieurs stratégies de groupe ("Configuration de l'ordinateur -\u003e Modèles d'administration -\u003e Système -\u003e Profils d'utilisateur", "Supprimer des copies en cache des profils d'itinérance").

Introduction d'un utilisateur existant dans le domaine

Souvent, lorsque le service d'annuaire est déployé dans le réseau déjà existant sur la base de groupes de travail, la question de l'introduction d'un utilisateur au domaine sans perdre les paramètres de son support de travail. Cela peut être atteint en utilisant des profils en mouvement.

Créez sur une ressource réseau (par exemple, des profils) sur le dossier serveur avec le nom d'utilisateur et définissez une autorisation d'écriture pour celui-ci pour le groupe TOUT LE MONDE. Laissez-le appeler hquser et le chemin complet de celui-ci ressemble à ceci: \\\\ Server \\ profils \\ hquer.

Créez un utilisateur de domaine qui correspondra à l'utilisateur de votre réseau local et de chemin d'accès au profil, spécifiez \\\\ Server \\ profils \\ hquser.

Sur un ordinateur contenant le profil local de notre utilisateur, vous devez entrer le compte administrateur et utiliser l'onglet Profils d'utilisateur de l'applet de système Copiez-le sur le dossier \\\\ Server \\ Profiles \\ HQUser.

Il est facile de comprendre que la prochaine fois que vous entrez dans le système sous un nouveau compte de domaine, notre utilisateur chargera son profil de travail du serveur et l'administrateur ne restera que pour décider de quitter ce profil ou de faire une locale.

En quittant

Très souvent, les utilisateurs téléchargent des informations inutiles. disques de réseau. Pour éviter les demandes permanentes de nettoyer vos dossiers personnels de déchets inutiles (pour une raison quelconque, il s'avère toujours nécessaire), vous pouvez utiliser le mécanisme de quota. En commençant par Windows 2000, il peut être fait standard signifie Sur les volumes de NTFS.

Pour activer le mécanisme de quota et de configuration, vous devez accéder aux propriétés du volume local et ouvrir l'onglet Quota (quota) (voir Fig. 7).

Vous pouvez également voir les données sur l'espace disque occupé et configurer les quotas séparément pour chaque utilisateur (voir fig. 8). Le système calcule l'espace disque occupé en fonction des données du propriétaire de l'objet, en résumant la quantité de fichiers appartenant à elle et à des dossiers.

Groupes d'utilisateurs en annonce

Gestion des utilisateurs dans le domaine - La tâche est simple. Mais lorsque vous devez configurer l'accès à certaines ressources de plusieurs dizaines d'utilisateurs (ou centaines), beaucoup de temps peut laisser la distribution des droits d'accès.

Et s'il est nécessaire de délimiter subtilement les droits aux participants de plusieurs domaines de l'arbre ou de la forêt, la tâche des tâches de la théorie des ensembles se pose avant l'administrateur. L'utilisation de groupes vient à la rescousse.

La principale caractéristique des groupes rencontrés dans le domaine a été donnée dans le dernier article de l'architecture du service d'annuaire.

Permettez-moi de vous rappeler que les groupes de domaine locaux peuvent inclure des utilisateurs de leur domaine et d'autres domaines dans la forêt, mais sa zone est limitée au domaine à laquelle elle appartient.

Les groupes mondiaux peuvent inclure uniquement les utilisateurs de leur domaine, mais il est possible de les utiliser pour donner accès aux ressources à la fois dans leur propre domaine et d'autres domaines de la forêt.

Les groupes universels, correspondant à leur nom, peuvent contenir des utilisateurs de n'importe quel domaine et également être utilisés pour fournir un accès dans toute la forêt. Peu importe que le groupe universel du domaine soit créé, le seul, il convient de déterminer que lorsqu'il se déplace, les droits d'accès seront perdus et ils devront se réaffecter à nouveau.

Pour comprendre les principes ci-dessus et de base des groupes de groupes décrits ci-dessus, envisagez un exemple. Passons une forêt contenant deux domaines hq.local et sd.local (dont celui d'entre eux est root dans ce cas, peu importe). Chacun des domaines contient des ressources auxquelles l'accès et les utilisateurs doivent être fournis (voir fig. 9).

De la Fig. 9 On peut constater que tous les utilisateurs de la forêt (Green and Red Lines) doivent avoir accès aux documents et distribuez des ressources. Nous pouvons donc créer un groupe universel contenant des utilisateurs des deux domaines et l'utiliser lors de la spécification des autorisations d'accès aux deux ressources. Soit nous pouvons créer deux groupes mondiaux dans chaque domaine que les utilisateurs ne contiendront que leur domaine et les inclure dans un groupe universel. L'un de ces groupes mondiaux peut également être utilisé pour attribuer des droits.

L'accès au répertoire de base doit avoir des utilisateurs uniquement à partir du domaine HQ.Local (lignes bleues). Nous les inclions donc dans le groupe de domaine local, et ce groupe fournira un accès.

Le catalogue Distribution aura le droit d'utiliser à la fois les membres du domaine HQ.Local et les membres du domaine SD.Local (lignes orange à la Fig. 9). Par conséquent, les utilisateurs de gestionnaires et de salaires peuvent ajouter HQ.Local au groupe de domaine global, puis ajouter ce groupe au groupe de domaine SD.Local local avec l'utilisateur informatique. Ensuite, ce groupe local et fournir un accès à la ressource distribuée.

Nous examinerons maintenant la nidification de ces groupes et envisagerons d'autres groupes de domaine locaux intégrés au groupe.

Le tableau indique quels groupes peuvent être intégrés. Ici, les horizontals sont situés des groupes dans lesquels des groupes situés verticalement sont investis. De plus, cela signifie qu'un type de groupes peut être investi dans un autre, il n'y a pas de moins.

Sur une ressource sur Internet sur les examens de certification Microsoft, j'ai vu une mention d'une telle formule - Agudlp, qui signifie: Les comptes sont placés dans des groupes mondiaux (globaux), qui sont placés à Universal (Universal), qui sont placés dans la section locale. Groupes de domaine (domaine local) auxquels les autorisations) sont appliquées. Cette formule décrit parfaitement la possibilité d'imbrication. Il convient d'ajouter que toutes ces espèces peuvent être intégrées aux groupes locaux d'une seule voiture (domaines locaux exclusivement dans leur domaine).

Niblage de groupe de domaine

Niché	Groupes locaux	Groupes mondiaux	Groupes universels
Compte
Groupes locaux	+ (à l'exception des groupes locaux intégrés et seulement dans son propre domaine)
Groupes mondiaux		+ (seulement dans son propre domaine)
Groupes universels

Les groupes de domaine locaux intégrés sont situés dans un conteneur intégré et sont en réalité des groupes de machines locales, mais uniquement pour les contrôleurs de domaine. Et contrairement aux groupes de domaine locaux, le conteneur utilisateurs ne peut pas être déplacé vers d'autres unités organisationnelles.

La bonne compréhension du processus d'administration de compte vous permettra de créer un environnement de travail clairement configuré de l'entreprise, en garantissant la flexibilité de la gestion, et surtout - la tolérance et la sécurité des pannes du domaine. Dans le prochain article, nous allons parler de collège politiciens Comme outil de création d'un environnement personnalisé.

application

Nuances de l'authentification de domaine

Lorsque vous utilisez des profils locaux, une situation peut survenir lorsque l'utilisateur du domaine essaie d'entrer. poste de travailqui a son profil local, mais pour une raison quelconque n'a pas accès au contrôleur. Étonnamment, l'utilisateur passe avec succès l'authentification et sera autorisé à fonctionner.

Une telle situation se pose en raison de la mise en cache du mandat de l'utilisateur et peut être corrigée en apportant des modifications au registre. Pour ce faire, dans le logiciel HKEY_LOCAL_MACHINE \\ Microsoft \\ Windows NT \\ Software \\ Microsoft \\ Windows NT \\ Version actuelle \\ WinLogon (s'il n'y a pas) entrée avec le nom CachedLogonCount, le type de données REG_DWORD et définissez sa valeur à zéro. Un résultat similaire peut être atteint à l'aide de stratégies de groupe.

1. Emelyanov A. Principes Construction de domaines Active Directory, // " Administrateur du système", №2, 2007 - P. 38-43.

En contact avec