Active Directory kezelése PowerShell segítségével. Active Directory telepítése. Megosztottságok és tárgyak létrehozása rájuk

A cikkek ciklusának első részében röviden tettem Új funkciók Active Directory. Nézzük meg mindent jobban ...

A szerep konfigurálása Ad ds

Az Active Directory Domain Services telepítéséhez a szerverkezelő és a Windows PowerShell, valamint az összes többi szerepkör és kiszolgálóelem és a Windows szerver 2012.

Szerver és ad DS menedzser integráció

A Server Manager egyetlen szerverkezelő koncentrátorként működik. A panel rendszeresen frissíti beállított szerepek és távoli kiszolgálók csoportjai. A szerverkezelő biztosítja központi irányítás Helyi és távoli szerverek nélkül a helyi konzolhoz való hozzáférés nélkül. Az Active Directory Domain Services egyike ezeknek a szerepeknek; A szerverkezelő futtatása a tartományvezérlőn vagy eszközön távirányítás Szerverek a Windows 8 ügyfélen, akkor látni fogja az összes fontos eseményt, amely a közelmúltban történt az erdőben lévő tartományvezérlőkön. Ezek az ötletek a következők:

Hozzáférhetőségi kiszolgáló

Nagy terhelés és memória és memória figyelmeztetések monitor

feltétel windows szolgáltatásokAz AD DS-re vonatkozóan

Legutóbbi figyelmeztetések a címtárszolgáltatásokhoz és az eseménynaplóban hibákat írnak

A legjobb tartományvezérlő elemzési gyakorlatok és a Microsoft ajánlásai

Kosár az Active Directory adminisztrációs központban

A Windows Server 2008 R2-ben az Active Directory első alkalommal megjelent, amely lehetővé tette a távoli Active Directory objektumok helyreállítását a biztonsági mentés visszaszerzése nélkül, az Active Directory Domain Services újraindítása vagy a tartományvezérlők újraindítása. A Windows Server 2012 új grafikus felület Az Active Directory adminisztráció központjában található kosárhoz. Lehetővé teszi a rendszergazdák számára, hogy engedélyezhessék a kosárat, majd megtalálják vagy helyreállítsa a távoli objektumokat az erdőben lévő domain-kontextusban, és mindezt a Windows PowerShell Cmdlers közvetlen használatával. Active Directory Administration Center és Active Directory A kosár továbbra is használja a Windows Engine PowerShell-ot, így a korábbi forgatókönyvek és az egyes cmdletek végrehajtása továbbra is sikeresen alkalmazható.

Részletes beállítások a beilleszkedési számlákhoz és jelszavakhoz az Adminisztráció központjában

A Windows Server 2008 rendszerben a részletes jelszópolitikák megjelentek, amelyek lehetővé tették a rendszergazdák számára, hogy több jelszót és fiók blokkoló irányelveket hozzanak létre a tartományban. Ez a határozat rugalmasabban engedélyezte a tartományi házirend kezelését, hogy többé-kevésbé szigorú jelszószabályokat biztosítson a felhasználók és csoportok alapján. Nem volt külön vezető kezelőfelülete, és a rendszergazdáknak be kellett konfigurálniuk az ldp.exe vagy az adsiedit.msc segítségével. A Windows Server 2008 R2 bemutatta az Activedirectory modult a Windows PowerShell számára, amely lehetővé tette az adminisztrátorok számára az FGPP parancssori felület használatát. A Windows Server 2012 grafikus felületet hoz a részletes jelszó-házirend-menedzsmenthez. Az Active Directory Administration Center most az összes adminisztrátor számára az FGPP egyszerűsített ellenőrzésének kiindulópontja.

A Windows PowerShell történetének megtekintése

A Windows Server 2008 R2 bemutatta az Active Directory adminisztrációs központot, amely a Windows 2000 időtartama óta a jól ismert adminisztrátorokat felváltotta, az Active Directory fut és számítógépeket. Az Active Directory Administration Center egyszerűen az ActivedRctory modulmotort használja a PowerShell motorháztetője alatt, amely grafikus felületet biztosít az adminisztrátorparancsok végrehajtásához.

Mivel az Activedirectory modul maga több mint száz csapatot tartalmaz, enyhén zavaros lehet. A PowerShell szorosan integrálódik a Windows Adminisztrációs stratégiába, és az Active Directory Administration Center most magában foglalja a parancsok végrehajtási történetének megtekintését, amely lehetővé teszi a grafikus felületen végrehajtott parancsot. Itt a másolatot, tisztítsa meg a történelmet és jegyzeteket egy egyszerű és kényelmes felületen. Ez lehetővé teszi a rendszergazda számára, hogy a grafikus felületet az objektumok létrehozásához és szerkesztéséhez használja, majd nézze meg őket a megtekintési előzményekbe, hogy többet megtudjon a PowerShell parancsfájlokról a példákon.

PowerShell replikáció segítségével

Hooray! Most a jó öreg Repadmin az Active Directory új PowerShell moduljában indulhat az Active Directory számára. Most már sok a leggazdagabb funkcionalitás - lehetővé teszi új vagy meglévő webhelyek, alhálózatok, kapcsolatok, webhelyek és hídfőinek konfigurálását. Azt is irányíthatjuk A metaadatok és az állapot replikáció, várakozási vektor (UTDVEC).

A replikációs cmdlets alkalmazása más CMDMS AD PowerShell modulral együtt lehetővé teszi, hogy az egész erdőt csak egy konzol segítségével adja meg.

Mindez további lendületet ad a rendszergazdák számára, akik a Windows Server összes új funkcióját szeretné használni anélkül, hogy a grafikus felületet használnák, ami csökkenti a támadások és a szerver karbantartási idejét. Ez különösen fontos, ha a szervereket nagyon védett hálózatokban, például titkos internetes protokoll útválasztó (SIPR) és vállalati peremhálózatok (DMZ) kell alkalmazni.

Itt megengedem magam, hogy megjegyezzem, hogy az új Windows Server 2012 telepítővarázsló azonnal javasolja egy kiszolgáló telepítését magápolóban, mint a leghatékonyabb telepítés, ellentétben előző verzió Telepítő a Windows Server 2008 R2-ben. (Ez az opció az alapértelmezés szerint azonnal kiválasztódik)

Windows Server műszaki referencia

A RID kibocsátásának és kezelésének javítása

A RID mester a Windows 2000 rendszerben jelent meg, amely relatív azonosítómedencét adott ki a tartományvezérlők számára, hogy az utóbbi biztonság azonosítókat (SID-eket) hozzon létre a biztonsági ügyek, például a felhasználók, a csoportok és a számítógépek számára. Alapértelmezés szerint a RID Global Space a tartományban létrehozott azonosítók teljes számának 2 30 (vagy 1073741823) korlátozódik. SID azonosító nem tud Újra meg kell hozni vagy újra kiadni. Hosszú ideig, a RID medencének nagy domainben kell futnia, vagy az incidensek a RID medence szükségtelen kimerüléséhez vezethetnek. A Windows Server 2012 1999 óta először felülvizsgálja a RID és menedzsment kérdések kibocsátásával kapcsolatos néhány pillanatot. Ezek tartalmazzák:

• A RID medence periodikus használata most figyelmeztetésként kerül rögzítésre az eseménynaplóban.
• Az esemény a nem alapvető megújuló medencéről készült
• A RID blokk méretének maximális RID házirendjét erőteljesen alkalmazzák.
• A mesterséges birtoklás megszűnése erőteljesen alkalmazza, és riasztást ad az eseménynaplóban, ha a RID Global Space kimerült, így lehetővé teszi, hogy az adminisztrátor működjön, mielőtt kimerült volna.
• A globális spacerid most egy kicsit nőtt;), megduplázza a címek méretét 2 31 (2,147,483,648 SIDS), hogy a biztonsági azonosítók működnek

ahhoz, hogy megérintse a ridát a kezekkel ... ..dcdiag:

Dcdiag.exe / teszt: ridmanager / v | Keresse meg / i "elérhető RID medencét a tartományhoz"

vagy PowerShell

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

####################### # Get Domain RID info # ####################### ## A https://blogs.technet.com/b/askds/archive/2011/09/12/Managing-rid-pool-deplegion.aspx alapján Import-modul activedirectory Írás-verbose "megszabaduljon információt a hirdetésből, beleértve a kibocsátott és fennmaradó rullák számát $ Ridmanagerproperty \u003d get-adobject "cn \u003d RID menedzser $, cn \u003d rendszer, $ addomaindistingingname" -property ridavailablePool -server (Get-addomain $ domaindns) .ridmaster) $ Ridinfo \u003d $ ridmanagerproperty.ridavailablePool $ Totalsids \u003d $ ridinfo / (:: POW (2.32)) $ Temp64val \u003d $ totalsids * (:: POW (2,32)) $ Currentridpoolcount \u003d $ ridinfo - $ temp64val $ Ridsremaining \u003d $ totalsids - $ currentridpoolCount $ Ridsissuedpcntoftototal \u003d ($ currentridpoolCount / $ totalsids) $ Ridsissuedercentoftotal \u003d "(0: p2)" -f $ ridsissuedpcntototal $ Ridsremainpcntoftotal \u003d ($ ridsremaining / $ totalsids) $ Ridsremainperpercentofotal \u003d "(0: p2)" -f $ ridsremainpcntoftototal Írási kimenet "RIDS kiadva: $ currentridpoolCount ($ ridsissuededpercentototal összesen)` r " Írási kimenet "Megmaradtak: $ ridsremaining ($ ridsremawrainpercentofotal) összesen)` r "

Folytatás ... 🙂

A Novemberi számban Computerpress, megismertük Önt a Windows PowerShell - az új parancssori környezet és a forgatókönyv nyelvének legfontosabb jellemzőivel microsoft.. Ma megvizsgáljuk a környezet használatát az Active Directory (AD) vállalati könyvtárának adminisztrációjában.

Röviden a PowerShellről

A Windows PowerShell egy új parancssor és egy script nyelv a Microsofttól. A PowerShell a Windows Server 2008 rendszerösszetevője (csak ki kell választania a kiszolgálókezelőben), és letölthető a www.microsoft.com/powershell oldalról a Windows XP, a Windows Server 2003 és a Windows Vista rendszerről.

Ha nem ismeri a Windows PowerShell-t, javasoljuk, hogy először olvassa el a cikket "Windows PowerShell. Röviden a fő dologról. "A 11'2007 számítógépen. Ebben a kiadványban korlátozni fogjuk magunkat az alapok rövid ismétléséhez, és azonnal továbblépünk a cikk fő témájához.

Így, powerShell csapatok A bilincseket (cmdlet) nevezik (cmdlet), és egy igékből áll (például kap, beállít, új, eltávolítunk, mozgassa, csatlakoztassa) és egy főnevet egyetlen számban, amely leírja az akció tárgyát. Van közöttük kötőjel. Kiderül valami, mint: Get-Process, Stop-Service stb.

A csapatok általában függőleges funkcióval rendelkező szállítószalaggal vannak társítva (|). Ez a jel azt jelenti, hogy az előző parancs teljes gyűjteményét a következőre továbbítják.

Az ilyen objektumorientáció nagyon kényelmes, mert könnyűvé teszi az objektumok működtetését, és összekapcsolja a csapatot. Ebben a cikkben megmondjuk, hogy ez a megközelítés hogyan segíti az Active Directory alapú vállalati könyvtár kezelését.

Az Active Directory használatának módjai

Az Active Directory címtár alapja vállalati hálózatok a windows adatbázis Szerver 2000, 2003 és 2008. Ez az, hogy az összes felhasználói fiók tárolódik, a csoportokról, a hálózati számítógépekről, az e-mail dobozokról és sok más dologról.

Mindezen gazdagságot kell kezelni, amelyre a Windows Server részét képező megfelelő eszközkészletet kell tervezni, de a PowerShell, amely megkönnyíti a tömeges intézkedések automatizálását nagyszámú Tárgyak.

Három fő módja van az Active Directory használatához a Windows PowerShell-ban:

• az Active Directory Service interface interfész (ADSI) segítségével ez a módszer a legnehezebb, de bármely PowerShell telepítésben működik, és nem igényel további modulokat. A VBSRIPT forgatókönyv nyelvén használt kontroll módszerhez is legközelebb van;
• a PowerShell kiterjesztésben szereplő Active Directory szolgáltató használatával ez a módszer lehetővé teszi, hogy egy könyvtárat csatlakozzon a számítógépen lévő lemez formájában, és navigáljon rajta keresztül a megfelelő parancsok: Dir, CD stb. Ez a módszer szükség van egy kiegészítő modul telepítésére a codeplexből;
• az Active Directory Cmdlets használatával ez a legkényelmesebb módja a könyvtári objektumok manipulálására, de a megfelelő modulok további telepítését is igényli.

ADSI

Az Active Directory Service interfészek (ADSI) ismerősek mindenkinek, aki megpróbált írni szkripteket a vbscript nyelven. A Powerhell-ban ez az interfész az úgynevezett adapter segítségével valósul meg. A négyszögletes zárójelben az adapter (ADSI) neve és az objektum elérési útja az LDAP lekérdezési könyvtárban (Lightweight Directory Access Protocol - A könyvtárakkal való együttműködés protokollja, amely támogatja mind a hirdetés), hozzáférhetünk egy objektumhoz és további hívja meg az IT módszereket.

Például csatlakoztassa az egyik könyvtár tartályhoz, és hozzon létre egy új felhasználói fiókot.

$ Objou \u003d "LDAP: // mydc: 389 / ou \u003d cto, dc \u003d alkalmazottak, dc \u003d testdomain, dc \u003d helyi"

Tehát most van egy $ objou változó, amely tartalmazza a konténerre vonatkozó információkat (változó nevek a PowerShellben a dollár ikonról).

Hívja a módszert Teremt. És hozzon létre egy új felhasználót a tartályban:

$ Objuser \u003d $ objou.Create ("felhasználó", "cn \u003d dmitry sotnikov")

Most különböző attribútumokat állíthatunk be:

$ objuser.put ("samaccountname", "dsotnikov")

Végül megadjuk azt a könyvtárat, amelyet a módosításokat alkalmazni kell:

$ objuser.setinfo ()

Az ADSI adapter használatának előnyei:

• jelenléte bármely szállítási powerhell. Ha telepítette a PowerShell-ot, és van egy olyan könyvtár, amellyel dolgozni kell - van mindent, amire szüksége van;
• alkalmazzon megközelítést a VBScript közelében. Ha gazdag tapasztalattal rendelkezik a VBScript forgatókönyv nyelvével vagy a mellékletekben található könyvtárral, akkor magabiztosan érezheti ezt a megközelítést.

Sajnos a módszer hibái vannak:

• nehézség a legnehezebb módja a könyvtárral. Írja be az utat az objektumhoz az LDAP kérés formájában nem triviális. Az attribútumokkal kapcsolatos munkákhoz meg kell adnia belső nevét, ezért meg kell emlékezni, hogy a város várost jelző attribútumot nem "város", hanem "L", stb.
• bulkness - Amint a példa alapján látható, az egyik fiók létrehozásának legegyszerűbb működése legalább négy sort foglal el, beleértve a tartályhoz való csatlakozáshoz és a változtatásokat. Így a viszonylag egyszerű műveletek hasonlóak a komplex forgatókönyvekhez.

Hirdetési szolgáltató

A PowerShell lehetővé teszi, hogy különböző rendszereket képviseljen a számítógép további lemezeinek formájában az úgynevezett szolgáltatókkal. Például a PowerShell szállítás tartalmazza a rendszerleíró adatbázis-szolgáltatót, és a rendszerleíró adatbázisban ismerkedhet meg az ismerős és kedvenc CD és Dir parancsokkal (UNIX szerelmesek számára, az LS csapat is támogatott).

Az Active Directory szolgáltató nem a Powerhell-ban van, de telepítheti azt, a PowerShell kiterjesztések projektje webhelyére - PowerShell közösségi kiterjesztések: http://www.codeplex.com/powershellcx.

Ez a projekt S. nyílt forráskódamely nagy számú csapatot ad hozzá a PowerShell rendszerhez, és ezenkívül beállítja a hirdetési szolgáltatót.

Az Active Directory szolgáltató használata

A telepítés után a kiterjesztéseket gépelési Get-psdrive, azt látjuk, hogy a lemez adunk az aktív könyvtárba.

Most meg tudjuk menni erre a könyvtárba CD beírásával és meghatározva a tartomány nevét, és bármely tartályban használja a dir parancsot, hogy megtekinthesse tartalmát.

Ezenkívül más ismerős fájlkezelési parancsokat (például DEL) hívhat.

A szolgáltató használatának kétségtelen előnyei tulajdoníthatók:

a könyvtár szerkezetének ábrázolásának természetessége az AD könyvtár a természet hierarchichnyjével, és hasonló a fájlrendszerhez;

az objektumok megtalálásának kényelme a CD és a DIR sok kényelmesebb alkalmazása, mint az LDAP lekérdezése.

A hátrányok feltűnőek:

• a tárgyak módosításainak összetettsége - A Szolgáltató segít könnyen elérni az objektumot, de megváltoztatni valamit, ismét ugyanazokat a könyvtárakat kell használnunk, mint az ADSI módszerben, és erre alacsony szinten kell működnie Módszerek és attribútumok hirdetése;
• szükségesség további telepítés - a szolgáltató nem szerepel a PowerShellben, és a PowerShell kiterjesztéseket letölteni és telepíteni kell;
• harmadik napos eredetű - A PowerShell kiterjesztések nem Microsoft termék. Ezeket a projekt rajongók hozták létre. Szabadon használhatja őket, de a technikai támogatásnak meg kell lépnie a Microsoft, hanem a projekt oldalához.

Hirdetés cmdlets

A fent leírt szolgáltató mellett van egy sor cmdlets, hogy dolgozzon az AD-vel (gyakran nevezett hirdetési cmdlets vagy qad cmdlets), elérhető a http://www.quest.com/activerres_server/ars.aspx http://www.quest.com/activerres_server/ars.aspx.

A cdamlák standard igékből állnak (Get-, Set-, Rename-, Remove-, Új, Mozgás, Connect-) és főnevek QAD PREFIX (-qaduser, -qadgroup, -qadcomputer, -qadobject).

Például egy új olvasási felhasználó létrehozásához ilyen parancsot kell végrehajtania:

Ennek a megközelítésnek az előnyei:

• könnyű - A cmdletek használata elrejti a könyvtár komplexitását, annak rendszereit és belső tulajdonságait. Az érthető objektumnevek (felhasználó, csoport, számítógép), tulajdonságai (név, jelszó, város, osztály) és akciójuk szintjén dolgozik a könyvtári objektumokkal (név, jelszó, város, osztály) és akciójuk (Get, Set, Eltávolítás, Mozgás, Új);
• rövidség és expresszivitás - Amint láttuk, a cmdlets-eket használó műveletek nagy részét egyszerű és természetes egysoros műveletek formájában fejezhetjük ki.

• a PowerShell-ban nem szerepelnek a kiegészítő telepítés - cmdlets szükségessége, és letöltenie kell és telepítenie kell a megfelelő könyvtárat;
• harmadik nap eredetű - parancsmagokkal dolgozó AD nem egy termék a Microsoft. Ezek a Microsoft Partner - Quest szoftver által készítettek. Ön szabadon alkalmazhatja őket, de a technikai támogatást a Microsoft, de az Active Directory fórumokon kell a PowerGui.org weboldalon.

Véleményünk szerint ezek a hátrányok több mint kompenzálják az egyszerűséget és a természetességet, így gyakorlati példák Ezt az adott megközelítést alkalmazzák.

Az Active Directory kezelése.

Lássuk, hogy a Powershell lehetővé teszi az alapműveletek elvégzését az AD könyvtárral való munkavégzéshez:

• az információ fogadása;
• tulajdonságok módosítása;
• csoportokkal dolgozik;
• Új objektumok létrehozása;
• a könyvtár szerkezetének megváltoztatása

Az információ fogadása

Az információ megszerzését a Powerhellben végezzük a Geti Glagol Cmdlets segítségével.

Például, hogy megkapja az összes felhasználó listáját, pontszám:

Csoportok számára:

Számítógépek rögzítése:

Ha nem minden rekordra van szüksége, de néhány specifikus, kiválaszthatja őket parancsparaméterekkel.

A felhasználók listája

Minden csoport a tartályhasználóktól:

Get-qadgroup -searchroot skorpio.local / felhasználók

A Moszkvai Irodai Értékesítési Osztály minden felhasználója, akinek neve az A betűn kezdődik:

Get-Qaduser -City Moszkva -Feum-értékesítés -name A *

Ugyanakkor elmondhatja PowerShell'y-t, milyen formában szeretné látni a kapott információkat.

Táblázat nevekkel, városokkal és osztályokkal foglalkozik:

Get-Qaduser | Formátum-asztal neve, város, osztály

Ugyanez a városok válogatásával:

Get-Qaduser | Rendezés város | Formátum-asztali kijelzőnév, város, osztály

A kimeneti mezők rendezése és kiválasztása

Az ugyanazon információk listájának megtekintéséhez egyszerűen csak a formátum-lista parancsot használjuk:

Get-Qaduser | Formátumlista név, város, osztály

Információk exportálása a CSV-fájlba (vesszővel elválasztott értékek - értékek vesszővel):

Get-Qaduser | Válassza ki a nevet, a várost, az osztály | Out-CSV felhasználók.csv

Jelentés létrehozása HTML formátumban:

Get-Qaduser | Válassza ki a nevet, a várost, az osztály | Converto-html | Out-File felhasználók.html

Így egy egyszerű PowerShell parancs egyik sora komplex jelentéseket hozhat létre az Ön számára.

A PowerShell lehetővé teszi, hogy megváltoztassa a készlet attribútumait
Egy parancs bejegyzései

Tulajdonságok módosítása

Miután elsajátítottuk az információkat a könyvtárból, itt az ideje, hogy megváltoztassunk valamit.

Az objektumok tulajdonságai manipulálhatók a set- * parancsokkal.

Például módosítsa a telefonomat:

Set-Qaduser 'Dmitry Sotnikov' - 111-111-111 '

Természetesen a hatalmas változások sokkal érdekesebbek. Ehhez használhatjuk a PowerShell szállítószalagot, azaz az objektumok listáját kaphatjuk, amelyre szüksége van a Get- parancsok használatával, és elküldi azokat a Set parancshoz, hogy módosítsa.

Például Perm Office egy új szobába költözött. Vegye meg az összes felhasználót, és hozzárendelje őket új szám Telefon:

Get-Qaduser -City Perm | Set-Qaduser -Phonenumber '+ 7-342-111111' '

A bonyolultabb manipulációkért használhatja a Cmdlet forage objektumot. Például minden felhasználó hozzárendel egy leírást, amely a részlegéből és a városból áll:

Get-Qaduser | Foreach objektum (SET-QADUSER $ _ -Description (S_.City + "" + $ _. Osztály)))

A $ _ változó ebben a példában a gyűjtemény aktuális objektumát jelzi.

A PowerShell lehetőséget kínál a kényelmes munkára.
Felhasználói csoportokkal

Csoportokkal dolgozik

A csoportokkal és a tagsággal való együttműködés egy másik tömeges művelet, amelyet gyakran automatizálni kíván. A PowerShell ilyen lehetőséget biztosít.

A csoport tagjainak megszerzése a Get-QadgroupMember Cmdlet használatával történik:

Get-QadgrubMember vezetők

Az objektum hozzáadása a csoporthoz is könnyű:

Add-QadgroupMember Scorpio \\ Managers -Member dsotnikov

Hasonlóképpen, a csoport eltávolítása az eltávolítás-Qadgroupmember cmdlets segítségével történik.

Természetesen a tömeges manipulációk a leghasznosabbak. Adja meg az összes vezetőt a megfelelő csoporthoz:

Get-Qaduser -Title Manager | Add-QadgroupMember Scorpio \\ Managers

Másolja a tagságot a csoportban:

Get-QadgroupMember Scorpio \\ Managers | Add-QadgroupMember Scorpio \\ Managers_Copy

Használja a szűrőt, hogy ne másolja az összes csoporttagot, de csak azok, akik felelősek bizonyos kritérium (Például a jobb régióban található):

Get-QadgroupMember Scorpio \\ Managers | Hol ($ _. City -Eq 'Ekaterinburg ") | Add-QadgroupMember Scorpio \\ Ekaterinburg_managers

Kérjük, vegye figyelembe, hogyan szűrtük a felhasználókat a hol és a logikai állapotparancs ( logikai üzemeltető -Eq a PowerShell egyenlőségi szolgáltató, angolról.egyenlő).

Tárgyak létrehozása

Objektumok létrehozása, amint azt már láttuk, a csapatok új:

Új-qaduser -parentcontainer scorpio.local / alkalmazottak -Name 'Dmitry Sotnikov'

Új-qadgroup -parentcontainer scorpio.local / alkalmazottak -Name 'menedzserek "-Type Security -scope globális

Bármely más attribútumot telepíthet a rekord létrehozásának folyamatában:

Új-qaduser -parentcontainer scorpio.local / alkalmazottak -Name 'Dmitry Sotnikov' -SamaccountName dsotnikov -city 'Saint-Petersburg' -password ' [E-mail védett]’

A rekord aktiválásához egyszerűen küldje el a szállítószalagnak az Enable-Qaduser (Ne felejtse el beállítani a jelszót - egyébként a művelet nem fog továbbítani):

Új-qaduser -parentcontainer scorpio.local / alkalmazottak -Name 'Dmitry Sotnikov' -password ' [E-mail védett]"| Enable-Qaduser.

Import-CSV New_Users.csv | Foreach-objektum (új-qaduser -parentcontainer scorpio.local / felhasználók -name ($ _. Familia + ',' + $ _. Imya) -SamaccountName ($ _. Imya + $ _. Familia) -Title $ _. Cím)

Felhívjuk figyelmét, hogy a fiók nevében repülünk a vezetéknév és a felhasználónév néven.

Példa az importfájl használatára
Rekord

A könyvtár szerkezetének megváltoztatása

Végül természetesen kezelheti a könyvtár szerkezetét.

Például új konténereket hozhat létre:

Új-QADOBECT -TYPEANUNIT-PARENTCONTAINER SCORPIO.LOCAL -NAME NEWOU

és mozgassa az objektumokat egymás mellett:

Move-Qadobject MyServer - Scorpio.Local / Szerverek

vagy nagykereskedelem:

Get-Qaduser -diLabled | Move-QadObject -to Scorpio.Local / Disabled

Fájl importálása és új fiókok létrehozása

Könnyen kiválaszthatunk olyan fiókokat, amelyek kielégíthetők
egy bizonyos kritérium, és áthelyezi őket egy másik tartályba

És még sok más

Az MMA csak egy kis részét adta meg az Active Directory kezeléséhez. A hirdetéshez tartozó cmdlets teljes listájának eléréséhez futtassa a parancsot:

Get-Command * -qad *

A tanúsítvány megszerzése bármely csapat számára:

Get-Súgó Get-Qaduser

Annak érdekében, hogy megtudja, melyik tulajdonság van egy objektív objektum a parancs segítségével:

Get-User | Kapótag.

A PowerShell funkciók gyakorlatilag végtelenek, de ugyanakkor találják meg őket.

Következtetés

A Kcak láttuk, hogy a PowerShell kiváló Active Directory. A tulajdonságok egy része (ADSI) bármely PowerShell beállításban érhető el. Néhány (szolgáltató és cmdlet) további modulokat igényel. Mindegyikük óriási lehetőségeket kínál a vállalati könyvtár irányításának automatizálására, ezért csökkenti a kockázatokat, megszabaduljon a rutinból, és növelje a munka hatékonyságát.

A legfontosabb dolog az, hogy ezek a technológiák már rendelkezésre állnak, és képesek segíteni a megbízott rendszerek adminisztrációjában ma. Összefoglalva, idézzük a rendszergazdát CJSC EVRASSFINANCE CJSC VASILY GUSEVA: "Cégünkben, valamint mindenhol, az Active Directory az egyik leggyakrabban használt és kritikus szolgáltatás. A PowerShell és a hirdetés cmdlets segítségével sok feladat könnyebbé vált parancs sorAhelyett, hogy az ADUC (Active Directory-felhasználók és számítógépek. - Kb. Piros.).). Soha még mindig az Active Directory soha nem volt könnyű és elérhető. "

Az Active Directory szolgáltatáskezelési szolgáltatás. Sok legjobb alternatíva Helyi csoportok, és lehetővé teszi számodra, hogy számítógépes hálózatokat hozzon létre hatékony irányítási és megbízható adatvédelemmel.

Ha korábban nem találkozott az Active Directory koncepciójával, és nem tudja, hogyan működik az ilyen szolgáltatások, ez a cikk az Ön számára. Tedd kitaláljuk, hogy ez a koncepció azt jelenti, hogy az ilyen adatbázisok előnyei, valamint a kezdeti használathoz való hozzárendelés és konfigurálás.

Az Active Directory nagyon kényelmes módja a rendszervezérlésnek. Az Active Directory segítségével hatékonyan kezelheti az adatokat.

Ezek a szolgáltatások lehetővé teszik, hogy egyetlen adatbázis-futó tartományvezérlőt hozzon létre. Ha Ön vállalkozás tulajdonosa, vezeti az irodát, általában irányíthatja azokat a tevékenységeket, akiket össze kell kapcsolni, akkor hasznos lesz egy ilyen tartományban.

Minden objektum szerepel - számítógépek, nyomtatók, faxok, felhasználói fiókok stb. A domainek mennyisége, amelyen az adatokat találják, "erdőnek" nevezik. Az Active Directory bázis olyan tartományi környezet, ahol az objektumok száma akár 2 milliárd is lehet. Képzeld el ezeket a mérlegeket?

Ez egy ilyen "erdő" vagy adatbázis segítségével számos alkalmazottat és felszerelést tud csatlakozni az irodában, és anélkül, hogy a helyhez kötődne - más felhasználók csatlakoztathatók a szolgáltatásokhoz, például a Társaság irodája egy másik városban.

Ezenkívül több domain jön létre az Active Directory Services - annál inkább a vállalat, annál több pénz szükséges az adatbázisban lévő technológia ellenőrzéséhez.

Ezután egy ilyen hálózat létrehozásakor egy ellenőrző tartományt határoznak meg, és még az egyéb tartományok későbbi jelenlétével is, a kezdeti továbbra is "szülői" - azaz csak az információs menedzsmenthez való hozzáféréssel rendelkezik.

Hol vannak tárolva ezek az adatok, és mi a létezése a tartományok? Az Active Directory létrehozásához a vezérlőket használják. Általában két - ha valami történik egyvel, az információ a második vezérlőre kerül.

Egy másik lehetőség az alap használatához, ha például a vállalat együttműködik a másikon, és általános projektet kell végeznie. Ebben az esetben szükség lehet a külföldi személyiségek elérésére a tartományi fájlokhoz, és itt konfigurálhat egyfajta "kapcsolatot" két különböző "erdő", nyitott hozzáférés a szükséges információkhoz, és nem kockáztathatja más adatok biztonságát.

Általában az Active Directory egy olyan eszköz, amely egy bizonyos struktúrán belüli adatbázis létrehozására szolgál, függetlenül annak méretétől. A felhasználókat és az egész technikát egy "erdőbe" kombinálják, a domaineket létrehozzák, amelyek a vezérlőkre kerülnek.

Még mindig tanácsos tisztázni - a szolgáltatások munkáját kizárólag az eszközökön lehetnek szerverrendszerek Ablakok. Ezenkívül 3-4 DNS-kiszolgálók jönnek létre a vezérlőkön. A fő tartományi zónát szolgálják, és abban az esetben, ha az egyikük meghiúsul, más szervereket cserélik.

Utána Összefoglaló Active Directory a dummies, Ön természetesen érdekli a kérdés - Miért változtatja meg a helyi csoportot egy egész adatbázisba? Természetesen a lehetőségek széles körben szélesebb körűek, és megismerjük az adatszolgáltatások egyéb különbségeit a rendszerellenőrzéshez, fontosabbá tegyük előnyeit részletesebben.

Az Active Directory előnyei.

Pluses Active Directory Következő:

1. Egy erőforrás használata hitelesítéshez. Ezzel a helyzetgel minden olyan fiókot kell hozzáadnia, amely hozzáférést igényel Általános információ. Minél több felhasználó és technológia, annál nehezebb az adatok szinkronizálása közöttük.

Így, ha olyan adatbázissal rendelkező szolgáltatásokat használ, a fiókok egy ponton tárolódnak, és a változások azonnal hatályba lépnek az összes számítógépen.

Hogyan működik? Minden munkavállaló, aki az irodába érkezik, elindítja a rendszert, és bejelentkezik a számlájára. A bemeneti kérelem automatikusan szolgál majd a kiszolgálóhoz, és a hitelesítés bekövetkezik rajta keresztül.

Ami a nyilvántartások egy bizonyos sorrendjét illeti, mindig megoszthatja a felhasználókat a csoporthoz - a "Személyzeti osztály" vagy "számvitel".

Ebben az esetben még könnyebb az információhoz való hozzáférés biztosítása - Ha egy osztályból származó munkavállalók mappáját meg kell nyitnia, akkor egy adatbázison keresztül csinálod. Hozzáférést kapnak a szükséges mappához az adatokkal, míg a fennmaradó dokumentumok zárva vannak.

1. Ellenőrizze az egyes adatbázisok résztvevőjét.

Ha a helyi csoportban minden résztvevő független, akkor nehéz ellenőrizni egy másik számítógépről, majd a domainekben olyan szabályokat hozhat létre, amelyek megfelelnek a vállalat politikáinak.

A rendszergazda beállíthatja a hozzáférési beállításokat és a biztonsági beállításokat, majd minden egyes felhasználói csoportra alkalmazza őket. Természetesen a hierarchiától függően egy csoport több kemény beállításokat lehet meghatározni, mások hozzáférést biztosítanak más fájlokhoz és műveletekhez a rendszerben.

Ezenkívül, amikor egy új személy a vállalatba esik, a számítógép azonnal megkapja a kívánt beállításokat, ahol a komponensek szerepelnek a munkához.

1. University a szoftver telepítésében.

Egyébként az alkatrészekről - mikor aktív segítségnyújtás Könyvtár, amelyet telepíthet nyomtatókat szükséges programok Az összes alkalmazotthoz azonnal állítsa be a titoktartási beállításokat. Általánosságban elmondható, hogy az adatbázis létrehozása jelentősen optimalizálja a munkát, figyeli a biztonságot és a felhasználókat a munka hatékonyságának maximalizálása érdekében.

És ha a vállalat különálló hasznosságot vagy speciális szolgáltatásokat üzemeltet, szinkronizálható a tartományokkal, és egyszerűsítheti az hozzájuk való hozzáférést. Hogyan? Ha a vállalatban használt összes terméket összekapcsolja, a munkavállalónak nem kell különböző bejelentkezési jelszavakat és jelszavakat írnia be az egyes programok beírásához - ez az információ gyakori lesz.

Most, amikor az Active Directory használatának előnyei és jelentése érthető, fontolja meg a megadott szolgáltatások telepítési folyamatát.

Használja az adatbázist a Windows Server 2012 rendszeren

Az Active Directory telepítése és konfigurálása nagyon nehéz dolog, és könnyebb, mint az első pillantásra.

A szolgáltatások letöltéséhez először az alábbiak szerint kell végrehajtani:

1. Módosítsa a számítógép nevét: Kattintson a "Start" gombra, nyissa meg a kezelőpanelt, a "Rendszer" elemet. Válassza ki a "Paraméterek módosítása" és a "Számítógépnév" karakterlánc előtti tulajdonságokat, kattintson a "Change" gombra, írja be a fő PC új értékét.
2. Újratöltés a számítógép kérésére.
3. Állítsa be a hálózati beállításokat:
   • A kezelőpanelen nyissa meg a menüt a hálózatokkal és a megosztott hozzáféréssel.
   • Állítsa be az adapter beállításait. A jobb oldali gomb, kattintson a "Tulajdonságok" gombra, és nyissa meg a "Hálózat" fület.
   • A listából az ablakban kattintson a 4. számú internetes protokollra, majd kattintson ismét a "Tulajdonságok" gombra.
   • Adja meg a kívánt beállításokat, például: IP-cím - 192.168.10.252, alhálózati maszk - 255.255.255.0, Main Sublude - 192.168.10.1.
   • Az "Előnyben részesített DNS-kiszolgáló" sorban adja meg a helyi kiszolgáló címét, az "Alternative ..." - más DNS-kiszolgálók címét.
   • Mentse a módosításokat, és zárja be az ablakokat.

Állítsa be az Active Directory szerepeket:

1. Nyissa meg a "kiszolgálókezelőt" a kezdeten keresztül.
2. A menüben válassza a Szerepek és alkatrészek hozzáadása lehetőséget.
3. A Mester elindul, de az első ablak a leírással kihagyható.
4. Jelölje meg a "Szerepek és alkatrészek telepítése" karakterláncot, folytassa.
5. Válassza ki a számítógépet az Active Directory behelyezéséhez.
6. A listából válassza ki a letölteni kívánt szerepet - az Ön esetére, ezek az "Active Directory Domain Services".
7. Meg fog jelenni kis ablak A szükséges komponensek letöltésével - vegye be.
8. Miután felajánlotta, hogy más alkatrészeket telepítsen - ha nem kell őket, csak hagyja ki ezt a lépést a "Tovább" gombra kattintva.
9. A telepítővarázsló egy ablakot jelenít meg a telepített szolgáltatások leírásával - Olvassa el és továbblép.
10. Van egy olyan elemek listája, amelyeket telepíteni fogunk - Ellenőrizze, hogy minden igaz, és ha igen, kattintson a megfelelő kulcsra.
11. Amikor a folyamat befejeződött, zárja be az ablakot.
12. Ez az összes szolgáltatás letölthető a számítógépre.

Active Directory beállítása

A tartományszolgáltatás konfigurálásához a következőket kell tennie:

• Futtassa a beállítási kiválasztási sorrendet.
• Kattintson a sárga mutatóra az ablak tetején, és válassza ki a "Kiszolgáló szerepkör javítása a tartományvezérlőbe".
• Kattintson egy új "erdő" hozzáadására, és hozzon létre egy nevet a root domainhez, majd kattintson a "Tovább" gombra.
• Adja meg az "erdő" és a tartomány módjait - leggyakrabban egybeesik.
• Jelölje be a jelszót, de győződjön meg róla, hogy emlékezzen rá. Menj tovább.
• Ezután láthatunk egy figyelmeztetést, hogy a domain nem delegált, és az ajánlat a domain név ellenőrzéséhez - kihagyhatja ezeket a lépéseket.
• A következő ablakban megváltoztathatja az adatbázisokhoz tartozó könyvtárak elérését - Tegye meg, ha nem alkalmas az Ön számára.
• Most látni fogja az összes telepítendő paramétert - nézze meg, hogy helyesen választotta-e őket, és folytassa.
• Az alkalmazás ellenőrzi, hogy az előfeltételeket elvégezzék-e, és ha nincsenek megjegyzések, vagy nem kritikusak, nyomjuk meg a "Telepítés" gombot.
• Miután befejezte a számítógép telepítését függetlenül túlterhelt.

Ön is érdekelt, hogyan kell felhasználót hozzáadni az adatbázishoz. Ehhez használja az Active Directory menüt, amelyet a kezelőpanel adminisztrációs részében talál, vagy az Adatbázis-beállítások menü működtetéséhez.

Új felhasználó hozzáadásához kattintson jobbkulcs A domain nevében válassza a "Create", a "Division" után. Megjelenik az Ön előtt, ahol be kell írnia az új egység nevét - olyan mappaként szolgál, ahol különböző osztályokon gyűjtheti a felhasználókat. Ugyanígy később számos más egységet hoz létre, és kompetensen helyezi az összes alkalmazottat.

Ezután a készülék nevét hozza létre, kattintson rá a jobb egérgombbal, és válassza a "Hozzon létre", utána - "Felhasználó" lehetőséget. Most csak a szükséges adatok megadása és a felhasználó hozzáférési beállításainak beállítása.

Új profil létrehozásakor kattintson rá a Kontextus menü kiválasztásával, és nyissa meg a "Tulajdonságok" lehetőséget. A "Fiók" fülön törölje a "BLOCK ..." jelölését. Ez minden.

Az általános következtetés az Active - Active Directory egy hatékony és hasznos eszköz a rendszervezérléshez, amely segít egyesíteni az alkalmazottak összes számítógépét egy parancsban. A szolgáltatások segítségével létrehozhat egy védett adatbázist, és jelentősen optimalizálhatja az információ munkáját és szinkronizálását az összes felhasználó között. Ha a tevékenységét a társaságot és minden más munkahelye kapcsolatos elektronikus számítástechnikai gépek és a hálózat, akkor össze kell számlák és monitor munka és a bizalmas, amelyben egy adatbázis alapján Active Directory lesz egy kiváló megoldás.

Az Active Directory telepítése után folytathatja az objektumok létrehozását és az ellenőrzést.

6.5.1. Megosztottságok és tárgyak létrehozása rájuk

6.5.1.1. Szervezeti megosztások létrehozása (OP)

Az OP létrehozhat a tartományban, a tartományvezérlő objektumban vagy más op (6.3 ábra). A létrehozott OP-ban objektumokat adhat hozzá.

Op létrehozásához szükség van olyan jogosultságra, hogy felosztást adjon a szülő op, a tartomány vagy a tartományvezérlő csomóponthoz, ahol az OP létrehozásra kerül. Alapértelmezés szerint az ilyen hatásköröket a rendszergazdák csoportja adja meg.

személyek).

Nem hozhat létre OP-t a legtöbb szabványos tartályban

nerkov, például számítógépek vagy felhasználók.

Ábra. 6.3. OT OTI Osztály a tartományvezérlő csomópontjában

OP-t hoznak létre a hálózati adminisztráció egyszerűsítése érdekében. Az OP szerkezete alapulnia kell különleges feladatok pokol-

minisztérium. Könnyedén megváltoztathatja az OP szerkezetét, vagy mozgathatja az objektumokat az OP között.

Az OP a következő esetekben jön létre:

adminisztratív hatásköröket más felhasználóknak vagy adminisztrátoroknak;

csoportos tárgyakat, amelyekre hasonló adminisztratív műveleteket hajtanak végre; Ez megkönnyíti a hasonló hálózati erőforrások és szolgáltatásuk keresését - így az összes objektumot egy OP-ban kombinálhatjaAz ideiglenes alkalmazottak felhasználója;

a hálózati erőforrások láthatóságának korlátozása az Active Directory tárolásához, a felhasználók csak azokat a tárgyakat fogják látni, amelyekhez hozzáférnek; Az OP engedélyei könnyen megváltoztathatók a bizalmas információkhoz való hozzáférés korlátozásával.

6.5.1.2. Tárgyak hozzáadása az OP-ben

Az OP objektumok hozzáadásához megfelelő hatósággal kell rendelkeznie. Alapértelmezés szerint az adminisztrátorok csoportja számára biztosított ilyen jogok. A létrehozandó tárgyak fajtái függenek a varázsló által használt séma szabályaitól. Néhány objektum attribútum csak a létrehozása után definiálható.

6.5.2. Vezérlő objektumok Active Directory

Az Active Directory objektumok kezelése magában foglalja az objektumok keresését, megváltoztatását, megsemmisítését vagy mozgást. Az utolsó két esetben megfelelő jogosultságokkal kell rendelkeznie az objektumhoz vagy az OP-hez, ahol az objektumot mozgatja. Alapértelmezés szerint az adminisztrátorok csoportjának minden tagja van ezek a hatalmak.

6.5.2.1. Tárgyak keresése

A globális katalógus (GC) a teljes katalógus részleges másolatát tartalmazza, és információt tárol a tartományban vagy az erdei fa összes objektumáról. Ezért a felhasználó megtalálhatja az objektumot, függetlenül a tartományban vagy az erdőben található helyétől. A GC tartalmát automatikusan generálja a könyvtárat alkotó doménekről.

Az objektumok kereséséhez nyissa meg a beépülő elemet, amelynek parancsikonja a programadatároló eszközök csoportjában található. A konzolfán, kattintson jobb gombbal

használja a tartományt vagy az OP egérgombot, és válassza ki a Keresés (Keresés) parancsot a helyi menüben. Megnyílik egy párbeszédpanel

(Keresés) (6.4. Ábra).

Ábra. 6.4. Keressen párbeszédpanelt

Ha feltárja az objektum helyi menüjét Megosztott mappa (megosztott mappa)És válassza ki a parancsfindot

(Keresés), a Windows Intéző keresése elindul, és kereshet megosztott mappa Fájlok és almappák.

A Keresés párbeszédpanel tartalmazza a GC keresési opcióit, lehetővé téve számú fiókokat, csoportokat és nyomtatókat.

6.5.2.2. Az attribútum értékek módosítása

és az objektumok eltávolítása

Az attribútum értékek megváltoztatásához nyissa meg az AC-t

tives Directory felhasználók és számítógépek és válasszon egy objektum példányát

hogy. A Művelet menüben válassza a Kompressziák lehetőséget. A Tulajdonságok párbeszédpanelen

eTA módosítsa a kívánt objektum attribútumokat. Ezután módosítsa az objektum leírását, például módosítsa a felhasználói objektumot a név, a hely és a elektronikus cím Felhasználó. Ha az objektumok már nem szükségesek, törölje őket biztonsági célokra: az aktív könyvtár felhasználók felszerelésének megnyitása és

Számítógépek, jelölje ki a törölt objektum példányát, majd az Eszközök menüben válassza a Törlés lehetőséget

(Töröl).

6.5.2.3. Mozgassa az objektumokat

Az Active Directory tárolásában olyan objektumokat mozgathat, például az OP között, hogy tükrözze a vállalkozás struktúrájának változásait, amikor a munkavállaló átkerül egy osztályból

goy. Ehhez, megnyitja a snapot Active Directory felhasználók és a

a Puters, válassza ki a mozgó objektumot, válassza a Mozgás (Move) és

adja meg az objektum új helyét.

6.5.3. Hozzáférésvezérlés az Active Directory objektumokhoz

Az Active Directory objektumokhoz való hozzáférés ellenőrzéséhez egy objektumorientált védelmi modellt alkalmazunk, egy ilyen NTFS védelmi modellt.

Minden Active Directory objektumnak van egy biztonsági leírása, amely meghatározza, hogy ki rendelkezik hozzáférni az objektumhoz és a hozzáférés típusához. A Windows Server biztonsági leírókat használ az objektumokhoz való hozzáférés ellenőrzéséhez.

Az adminisztráció egyszerűsítése érdekében ugyanazon biztonsági követelményekkel rendelkező objektumokat lehet csoportosítani az OP-ben, és hozzárendelhet hozzáférési jogosultságokat az egész OP és az összes objektumhoz.

6.5.3.1. Active Directory engedélyek kezelése

Az Active Directory-engedélyek erőforrás-védelmet nyújtanak, lehetővé téve az objektumok vagy objektum-attribútumok eseteinek elérését, és meghatározhatják a rendelkezésre álló hozzáférés nézetét.

Active Directory védelem

Az objektum adminisztrátorának vagy tulajdonosának hozzáférési engedélyezési objektumot kell rendelnie, mielőtt a felhasználók hozzáférhetnek az objektumhoz. A Windows Server mindegyikhez hozzáférést biztosít (Access Control List, ACL)

az Active Directory objektum.

Az ACL objektum tartalmazza a felhasználók listáját, amelyek hozzáférhetnek az objektumhoz, valamint egy megengedett tárgyakhoz.

A célállomás engedélyeit használhatja közigazgatási hatóság egy adott felhasználó vagy csoport az OP-hez, az OP vagy a hierarchiájával kapcsolatban különálló objektum anélkül, hogy adminisztratív engedélyeket kinevezne

aNCTIVE könyvtári objektumok.

Engedélyek az objektumhoz

Az objektum típusától függ - például a reset jelszó felbontása megengedett az objektumok számára, de nem az objektumokhoz

Számítógép.

A felhasználó több csoport tagja lehet, akik különböző jogosultságokkal rendelkeznek mindegyik számára különböző szintek Az objektumokhoz való hozzáférés. Amikor hozzárendel jogosultsága a tárgy, egy csoport tagja, felruházva egyéb engedélyek, a tényleges jogai a felhasználó fog kidolgozni annak engedélyeket és jogosítványokat a csoport.

Engedélyek megadása vagy törlése. Megszakított engedélyek a felhasználók és a több prioritású kibocsátott engedélyek csoportjai számára.

Ha a felhasználó tilos az objektumhoz való hozzáféréshez, akkor még a meghatalmazott csoport tagjaként sem kap hozzáférést.

Az Active Directory jogosultságok hozzárendelése

Konfigurálja az objektumok engedélyeit, és attribútumaik lehetővé teszik a szerszámozáshoz Active Directory felhasználók és számítógépek. Kinevez

megoldások is vannak a lapon is. Biztonságaz Objektum tulajdonságai párbeszédpanel.

A legtöbb adminisztratív feladat teljesítéséhez elegendő szabványos engedély.

Alexander Emelyanov

Az Active Directory tartományban lévő fiókok kezelése

Az adminisztrátor egyik legfontosabb feladata a helyi és domain számlák kezelése: a felhasználói jogok ellenőrzése, idézete és elhatárolása az igényeik és a vállalati politikák függvényében. Mit kínálhat az Active Directory e tekintetben?

Az Active Directory ciklus ciklusának folytatásában ma beszélünk az adminisztrációs folyamat központi kapcsolatáról - a felhasználói számviteli adatok kezelése a tartományon belül. Figyelembe fogjuk venni:

• számlák létrehozása és kezelése;
• a felhasználói profilok típusai és azok használata;
• biztonsági csoportok hirdetési területeken és kombinációiban.

Végül alkalmazhatjuk ezeket az anyagokat, hogy felépíthessenek egy olyan meglévő munkainfrastruktúrát vagy finomítást, amely megfelel az Ön igényeinek.

Előre nézve azt mondom, hogy a téma szorosan kapcsolódik a csoportpolitikák adminisztratív célokra történő alkalmazásához. De az általuk elkötelezett anyag hatalmasságának köszönhetően a következő cikkben nyilvánosságra kerül.

Ismerkedés az Active Directory - Felhasználók és számítógépek

Miután telepítette az első vezérlőt a tartományban (ténylegesen szervez egy tartományt), öt új elem jelenik meg az adminisztrációs részben (lásd az 1. ábrát).

Kezeléséhez AD objektumok, Active Directory használata esetén - a felhasználók és számítógépek (ADUC - ad a felhasználók és számítógépek, ld. 2.), amely szintén az úgynevezett a „Run” menü segítségével Dsa.msc.

Az ADUC használatával létrehozhatja és törölheti a felhasználókat, hozzárendelheti a bejelentkezési parancsfájlokat a csoportok és a csoportos házirendek tagság kezeléséhez.

A hirdetésobjektumok kezelésének módja is van, anélkül, hogy közvetlenül elérné a kiszolgálót. Ez biztosítja az Adminpak.msi csomagot, amely a% System_Drive% \\ Windows \\ System32 könyvtárban található. Az autójára fordítva, és a domain rendszergazda jogai (ha nincs), a domaint is beadhatja.

Az ADUC megnyitásakor megtekintjük az öt tartályt és a szervezeti egységet tartalmazó domainünk ágát.

• Beépített.. Ez olyan beépített helyi csoportokat tartalmaz, amelyek bármely kiszolgálógépen vannak, beleértve a tartományvezérlőket is.
• Felhasználók és számítógépek. Ezek olyan konténerek, amelyekben az alapértelmezett felhasználók, csoportok és számítógépek számlái a rendszer telepítése a Windows NT. De új fiókok létrehozásához és tárolásához nem kell csak ezeket a tartályokat használni, akkor még egy tartománytartályban is létrehozhat egy felhasználót. Amikor bekapcsolja a számítógépet a tartományba, megjelenik a számítógépes tartályban.
• Tartományvezérlők.. Ez a szervezeti egység (OU, szervezeti egység), amely az alapértelmezett tartományvezérlőket tartalmazza. Új vezérlő létrehozásakor itt jelenik meg.
• Külsejesség-principals.. Ez az alapértelmezett tartály a külső megbízható domainek objektumai számára.

Fontos megjegyezni, hogy a csoportpolitikák kizárólag a tartományra, ou vagy webhelyre vannak kötve. Ezt figyelembe kell venni a domain adminisztratív hierarchiájának létrehozásakor.

Adunk meg egy számítógépet a tartományban

Az eljárást közvetlenül a csatlakozni kívánt helyi gépen végezzük.

Válassza a „Sajátgép -\u003e Tulajdonságok -\u003e Computer Name”, nyomja meg a „Change” gombra, és a „tag” menüből válassza a „Domain”. Adjuk meg a tartománynevet, amelyben hozzá szeretnénk hozzáadni a számítógépünket, és aztán azt bizonyítjuk, hogy joga van a munkaállomások hozzáadásához a tartományba a tartományi rendszergazdai hitelesítési adatok megadásával.

Hozzon létre egy tartományfelhasználót

A felhasználó létrehozásához ki kell választania bármely olyan tartályt, amelyben található, kattintson rá a jobb egérgombbal, és válassza a "Létrehozás -\u003e Felhasználó" lehetőséget. Megnyílik a felhasználó létrehozása varázsló. Itt megadhatja az attribútumok számos attribútumát, kezdve a tartomány felhasználónevével és ideiglenes naplózási keretével, és befejeződik a terminálszolgáltatások és a távoli hozzáférés beállításával. A varázsló befejezése után új tartományfelhasználót kap.

Meg kell jegyezni, hogy a felhasználó létrehozása során a rendszer "esküszik" a jelszó elégtelen összetettségére vagy annak rövidségére. A tartománybiztonsági házirend (alapértelmezett tartománybiztonsági beállítások) megnyitásával enyhítheti a követelményeket, majd a "Biztonsági beállítások -\u003e Fiókpolitikák -\u003e Jelszóiroda.

Hagyjuk létrehoztuk a felhasználót Ivan Ivanov a felhasználói konténerben (felhasználói bejelentkezési név: [E-mail védett]). Ha NT 4 rendszerben csak a dekoráció szerepe, akkor a hirdetésben az LDAP formátumban szereplő név része, amely teljesen így néz ki:

cN \u003d "Ivan Ivanov", CN \u003d "Felhasználók", DC \u003d "HQ", DC \u003d "Helyi"

Itt a CN - konténer neve, DC - domain összetevője. Az LDAP objektumok leírása a WSH parancsfájlok (Windows Script-host) vagy az LDAP protokoll használatával történő végrehajtására szolgál az Active Directory kommunikálásához.

A domainbe való belépéshez Ivan Ivanovnak UPN formátumban kell használnia a nevet (univerzális főnév): [E-mail védett] A hirdetési területeken is világossá válik, hogy írja a nevet a régi formátumban NT 4 (Win2000 előtt), ügyünkben hq \\ Ivanov.

Felhasználói fiók létrehozásakor automatikusan hozzárendeli a biztonsági azonosítót (SID, biztonsági azonosító) egy egyedi szám, amellyel a rendszer és a felhasználókat határozza meg. Nagyon fontos megérteni, hiszen egy fiók törlése esetén az SID törlődik, és soha többé nem használja. És minden új fióknak új SID-je lesz, ezért nem lesz képes a régi jogok és jogosultságok megszerzésére.

Egy fiókot át lehet mozgatni egy másik tartályba, vagy ou, letiltja, vagy éppen ellenkezőleg, engedélyezze, másolhatja vagy swap jelszó. A másolatot gyakran használják ugyanazon paraméterekkel rendelkező több felhasználó létrehozására.

A felhasználó munkakörnyezete

A szerveren központilag tárolt hitelesítő adatok lehetővé teszik a felhasználók számára, hogy egyértelműen azonosítsák magukat a tartományban, és releváns jogokat és hozzáférést kapjanak a munkakörnyezethez. Minden operációs rendszer A Windows NT családok munkakörnyezet létrehozására szolgálnak az ügyfélgép felhasználói profiljában.

Helyi profil

Tekintsük a felhasználói profil fő összetevőit:

• A nyilvántartási partíció megfelel egy adott felhasználónak ("kaptár" vagy "kaptár").Valójában a rendszerleíró adatbázis ezen vonalának adatai az NTUSER.DAT fájlban vannak tárolva. A% SystemDrive% \\ Dokumentumok és Beállítások \\ user_name mappában található, amely felhasználói profilt tartalmaz. Így, amikor az adott felhasználó bejelentkezik a rendszerbe a HKEY_CURRENT_USER részben a „kaptár” A Ntuser.dat kerül betöltésre a mappát, amelyben a profil. És a változásokat a felhasználói környezet beállításait a munkamenet megmarad ebben a „kaptár”. Az ntuser.dat.log fájl egy tranzakciós napló, amely az NTUSER.DAT fájl védelme érdekében létezik. Azonban a Felhasználói alapértelmezett felhasználó számára aligha találja meg, mert ez egy sablon. Ez a következő. Az adminisztrátor képes egy adott felhasználó "kaptárát" szerkeszteni a munkakörnyezetétől. Ehhez a Regedit32 Rendszerleíróadatbázis-szerkesztő használatával a HKEY_USERS szakaszban "kaptár" -t kell betöltenie, majd a változtatásokat a kirakodás után.
• Mappák fájlrendszeregyedi beállítási fájlokat tartalmaz. Ezek egy speciális katalógus% SystemDrive% \\ Documents és Settings \\ user_name, ahol a felhasználó_neve a bejelentkezett felhasználó neve. Itt tárolják az asztal elemeit, az indítás elemeit, a dokumentumokat stb.

Ha a felhasználó először belép a rendszerbe, az alábbiak történnek:

1. A rendszer ellenőrzi, hogy létezik-e a felhasználó helyi profilja.
2. Miután megtalálta, a rendszer a tartományvezérlőre utal az alapértelmezett domainprofil keresésére, amelyet a Netlogon megosztott erőforrás alapértelmezett felhasználói mappájában kell elhelyezni; Ha a rendszer észlelte ezt a profilt, akkor helyileg másolódik a géphez a% SystemDrive% \\ Documents and Settings mappában a felhasználónevével, különben a helyi rendszerben a SystemDrive% \\ Documents and Settings \\ Alapértelmezett felhasználó másolódik.
3. A "Hive" rendszerleíró adatbázis-munkamenet a HKEY_CURRENT_USER rendszerleíró részlegben van betöltve.
4. A rendszer elhagyásakor minden változtatás helyileg mentésre kerül.

Végül a felhasználó munkakörnyezete a munkaprofil és az összes felhasználó profil kombinációja, amely közösen tartalmazza a beállítási gép összes felhasználóját.

Most néhány szó egy domain alapértelmezett profiljának létrehozásáról. Hozzon létre egy fiktív profilt az autóján, konfigurálja az Ön igényeinek megfelelően a vállalati politikai követelmények. Ezután hagyja el a rendszert, és menjen vissza egy domain rendszergazdaként. A megosztott Netlogon szerver erőforráson alapértelmezett felhasználói mappát hozhat létre. Ezután a System Applet felhasználói profilok lapján (lásd a 3. ábrát) másolja át a profilját erre a mappára, és adja meg a tartományfelhasználók csoportjának vagy bármely más használatának jogait alkalmas csoport Biztonság. Minden, a domain alapértelmezett profilja létrejön.

Átadott profil

Az Active Directory, mint rugalmas és skálázható technológia lehetővé teszi, hogy a vállalkozás környezetében dolgozzon mozgatott profilokkal, amelyeket tovább fogunk nézni.

Ugyanakkor helyénvaló lesz elmondani a mappák átirányítását az Intellimirror technológia egyik jellemzőjeként, hogy biztosítsák a felhasználói adatok hibakűrűségét és központosított tárolását.

Az átvitt profilokat a kiszolgálón tárolja. A rájuk elérési útja a tartományfelhasználó beállításai (lásd a 4. ábrát).

Ha szeretné, megadhatja a mozgott profilokat több felhasználó számára egyidejűleg, kiemelheti több felhasználót, és a Profil fül tulajdonságaiban adja meg a% felhasználónév% -ot a felhasználónévvel rendelkező mappa helyett (lásd 5. ábra).

Az első bejelentkezés folyamata a rendszerhez, amely egy mozgatott profilú, hasonlít a fent leírt helyi, bizonyos kivételek esetén.

Először is, mivel a felhasználói objektum profiljának elérési útja meg van adva, a rendszer ellenőrzi a profil gyorsítótárazott helyi példányát autóval, majd mindent, amit a leírtak szerint ellenőrzi.

Másodszor, a befejezés után minden változtatás másolódik a kiszolgálóra, és ha a csoport-házirendek nincsenek megadva a helyi másolat törléséhez, a készüléken tárolva. Ha a felhasználó már volt egy helyi profil másolatát, a szerver és a helyi másolatait a profil képest, és össze őket.

Intellimirror technológia a Windows rendszerekben legutóbbi verziók Lehetővé teszi bizonyos felhasználói mappák átirányítását, például a "Saját dokumentumok", a "Saját képek" stb., A hálózati erőforráson.

Így a felhasználó számára az összes változtatás teljesen átlátható. A dokumentumok mentésével a "Saját dokumentumok" mappába, amelyet szándékosan átirányítanak a hálózati erőforrásra, még akkor sem fogja gyanítani, hogy minden a szerverre kerül.

Az átirányításokat manuálisan konfigurálhatja minden felhasználó számára, és csoportos házirendeket használhat.

Az első esetben a jobb egérgombbal vagy a "START" menüben a "START" menüben kattintson a "START" menüben, és válassza a Tulajdonságok lehetőséget. További minden nagyon egyszerű.

A második esetben meg kell nyitnia az OU csoportházirendet vagy a tartományt, amelyre átirányítanunk kell, és közzéteszi a "Felhasználói konfiguráció" hierarchiát -\u003e Windows konfigurációt "(lásd a 6. ábrát). Ezután az átirányítás konfigurálva van, vagy minden felhasználónak vagy bizonyos OU biztonsági csoportoknak vagy olyan tartománynak, amelyre a csoportházirendet alkalmazzák.

A mappa átirányítása használata a mozgatható felhasználói profilokkal való munkához, például a profil betöltési idejének csökkentése érdekében. Ez biztosítja, hogy a mozgó profil mindig betöltődik a szerver használata nélkül a helyi másolatot.

A mappa átirányítási technológiája története hiányos lenne az önálló fájlok megemlítése nélkül. Lehetővé teszik, hogy a felhasználók hálózati kapcsolat hiányában is dokumentálják a dokumentumokat. Szinkronizálás a kiszolgálói másolatokkal, amikor a számítógép a hálózathoz csatlakozik. Az ilyen szervezeti rendszer hasznos, például a helyi hálózaton és otthoni laptopok felhasználói számára.

A mozgó profilok hátrányai a következők:

• lehetséges, hogy például a felhasználó asztalánál, néhány program címkéi lesznek, és egy másik gépen, ahol az ilyen programok mozgó profiljának tulajdonosát fogja észlelni, a parancsikonok egy része nem lesz munka;
• számos felhasználónak van egy szokása a dokumentumok tárolására, valamint a fotók és még a videó az asztalon, ennek eredményeként, amikor egy mozgatott profilt tölt be a szerverről, további forgalom jön létre minden egyes alkalommal, és a profil maga is nagyon hosszú idő; A probléma megoldásához használja az NTFS jogosultságokat, hogy korlátozza a "szemét" megőrzését az asztalon;
• minden alkalommal, amikor a felhasználó belép a rendszerbe, létrehoz egy helyi profil (pontosabban, a szerver profilját helyileg másolják), és ha a működőgépek megváltoznak, akkor mindegyikük továbbra is ilyen "szemét" marad; Ezzel elkerülhető több csoportpolitika konfigurálásával ("számítógépes konfiguráció -\u003e adminisztratív sablonok -\u003e rendszer -\u003e felhasználói profilok", "Roaming profilok törlése").

Egy meglévő felhasználó bevezetése a tartományban

Gyakran, amikor a címtárszolgáltatás a már meglévő hálózaton dolgozik munkacsoportok alapján, a felhasználónak a tartományhoz való bevezetésének kérdése anélkül, hogy elvesztené a munkaközeg beállításait. Ez mozgó profilok segítségével érhető el.

Hálózati erőforrás (például profilok) létrehozása a Felkondó mappában a Felhasználónévvel, és állítsa be az írási engedélyt a mindenki számára. Hagyja, hogy HQUSER-nek nevezzük, és a teljes útja úgy néz ki, mint ez: \\\\ kiszolgáló \\ profilok \\ hquser.

Hozzon létre olyan tartományfelhasználót, aki megfelel a helyi hálózat felhasználójának, és a profil elérési útjaként adja meg a kiszolgáló \\ profilokat \\ hquser.

A felhasználó helyi profilját tartalmazó számítógépen be kell írnia az adminisztrátori fiókot, és a rendszer Applet felhasználói profilok lapján másolja át a \\\\ kiszolgáló \\ profilok \\ hquser mappába.

Könnyen érthető, hogy a következő alkalommal, amikor a rendszert új domain-fiók alatt adja meg, a felhasználóunk betölti munkaprofilját a szerverről, és az adminisztrátor csak eldöntheti, hogy elhagyja-e ezt a profilt, vagy a helyi lehetőséget.

Kilép

Nagyon gyakran a felhasználók felesleges információkat töltenek le. hálózati lemezek. Annak érdekében, hogy elkerüljék az állandó kérelmeket, hogy tisztítsák meg személyes mappáit a felesleges szemétből (valamilyen oknál fogva mindig szükség van rá), használhatja a kvótamechanizmust. A Windows 2000 rendszerrel kezdődik szabványeszközök Az NTF-ek mennyiségein.

A kvóták és a konfigurációs mechanizmus engedélyezéséhez a helyi kötet tulajdonságokra kell mennie, és nyissa meg a kvótát (kvóta) (lásd a 7. ábrát).

A foglalt lemezterületen található adatokat is megtekintheti, és minden felhasználó számára külön-külön konfigurálhatja a kvótákat (lásd a 8. ábrát). A rendszer kiszámítja a foglalt lemezterületet az objektumtulajdonos adatok alapján, összegezve az IT-hez és mappákhoz tartozó fájlok mennyiségét.

Felhasználói csoportok a hirdetésben

Felhasználói menedzsment a tartományon belül - A feladat egyszerű. De ha be kell állítania a hozzáférést bizonyos erőforrásokhoz több tucat felhasználó számára, sok idő hagyhatja el a hozzáférési jogok elosztását.

És ha szükség van arra, hogy finoman határoljanak a fákon vagy erdőben több területen résztvevőknek való részvételi jogokhoz, akkor a feladatok feladata a készletek elméletéből származik a rendszergazda előtt. A csoportok használata a mentéshez jön.

A domainben felmerült csoportok fő jellemzője az utolsó cikkben szerepelt a címtárszolgáltatás architektúrájában.

Hadd emlékeztessem Önt arra, hogy a helyi tartománycsoportok magukban foglalhatják a tartományuk és más domainek felhasználói számára az erdőben, de területe csak a tartományra korlátozódik.

A globális csoportok magukban foglalhatják a domainükre vonatkozó felhasználókat, de lehetőség van arra, hogy felhasználják őket, hogy hozzáférjenek az erőforrásokhoz, mind az erdőben, mind az erdőben lévő más területükön.

A nevüknek megfelelő univerzális csoportok bármely tartományból származó felhasználókat tartalmazhatnak, és az egész erdőben való hozzáférést is biztosítanak. Nem számít, hogy a Domain Universal Group létrehozása, az egyetlen, érdemes megfontolni, hogy amikor mozog, a hozzáférési jogok elvesznek, és újra kell hozniuk.

A fent leírt csoportcsoportok fenti és alapelveinek megértése érdekében fontolja meg a példát. Legyen egy erdünk, amely két hq.local és sd.local domént tartalmaz (melyikük gyökér ebben az esetben, nem számít). A tartományok mindegyike olyan erőforrásokat tartalmaz, amelyekhez hozzáférést és felhasználókat kell biztosítani (lásd a 9. ábrát).

Az 1. ábrából. 9 Látható, hogy minden felhasználó az erdőben (zöld és piros vonalak) számára hozzáférést kell biztosítani Docs és DISTRIB források, így mi is létrehozhatunk egy univerzális csoport, amely a felhasználók mindkét területen, és használja azt, amikor meghatározza engedélyeket hozzáférést mindkét források. Vagy két globális csoportot hozhatunk létre minden olyan tartományban, amelyet a felhasználók csak a saját tartományát tartalmaznak, és magukban foglalják őket egy univerzális csoportba. A globális csoportok bármelyike \u200b\u200bis felhasználható a jogok hozzárendelésére.

Az alapkönyvtárhoz való hozzáférésnek csak a HQ.Local Domain (kék vonalak) felhasználóként kell rendelkeznie, ezért magukban foglaljuk őket a helyi tartománycsoportba, és ez a csoport hozzáférést biztosít.

A disztribúciós katalógusnak jogában áll mind a hq.local domain tagjait, mind az SD.Local domain tagjait (narancssárga vonalak 9). Ezért a menedzser és a fizetéshasználók hozzáadhatják a HQ.Local-t a globális tartománycsoporthoz, majd hozzáadhatják ezt a csoportot a helyi SD.Local Domain csoporthoz. Ezután ez a helyi csoport, és hozzáférést biztosít a Distribus forráshoz.

Most meg fogjuk vizsgálni ezeknek a csoportoknak a fészkelődését, és fontolunk meg egy másik típusú csoportot - beépített helyi tartományi csoportokat.

A táblázat azt mutatja, hogy mely csoportok beágyazhatók. Itt a vízszintes csoportok olyan csoportok találhatók, amelyekben a függőleges csoportok fektetnek be. Ráadásul azt jelenti, hogy az egyik típusú csoportok befektethetnek egy másikba, nincs mínusz.

Az interneten az interneten a Microsoft tanúsítási vizsgákon láttam egy ilyen képlet említését - az Agudlp, ami azt jelenti, hogy a számlákat globális csoportokban (globális) helyezik el, amelyek az Univerzális (univerzális), amelyek helyiekba kerülnek Domaincsoportok (domain helyi), amelyekre engedélyt alkalmaznak). Ez a képlet teljesen leírja a fészkelés lehetőségét. Hozzá kell tenni, hogy mindezek a fajok egyetlen autó helyi csoportjaiba ágyazódhatnak (kizárólag a saját tartományon belüli helyi tartományok).

Domain csoport fészkelő

Fészkelő	Helyi csoportok	Globális csoportok	Univerzális csoportok
Számla
Helyi csoportok	+ (kivéve a beépített helyi csoportokat, és csak saját tartományán belül)
Globális csoportok		+ (csak saját tartományában)
Univerzális csoportok

A beépített helyi tartománycsoportok a beépített tartályban találhatók, és valójában helyi gépcsoportok, de csak a tartományvezérlők számára. És a helyi tartományi csoportoktól eltérően a felhasználók tartályát nem lehet más szervezeti egységekbe költözni.

A fiókadminisztráció helyes megértése lehetővé teszi, hogy a vállalkozás világosan konfigurált munkakörnyezetét hozza létre, biztosítva a menedzsment rugalmasságot, és ami a legfontosabb - a domain hibatűrése és biztonsága. A következő cikkben beszélünk csoport politikusok Egyéni környezet létrehozásának eszközeként.

Alkalmazás

A domain hitelesítés árnyalatai

Helyi profilok használata esetén egy helyzet akkor fordulhat elő, ha a tartományfelhasználó megpróbálja belépni munkaállomásMelyik helyi profilja van, de valamilyen oknál fogva nincs hozzáférése a vezérlőhöz. Meglepő módon a felhasználó sikeresen átadja a hitelesítést, és megengedhető, hogy dolgozzon.

Az ilyen helyzet a felhasználó megbízatásának gyorsítótárazása miatt merül fel, és a rendszerleíró adatbázis módosításával korrigálható. Ehhez a HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Software \\ Microsoft \\ Windows NT \\ Current Version \\ Winlogon (ha nincs) bejegyzés a CachedlogonCount névvel, a REG_DWORD adattípust, és állítsa be értékét nullára. Hasonló eredmény érhető el a csoportpolitikák segítségével.

1. Emelyanov A. A domainek Active Directory elvei, // " Rendszergazda", 2007. ábra - P. 38-43.

Kapcsolatban áll