Управління Active Directory за допомогою PowerShell. Термін «довірчі відносини». Управління об'єктами Active Directory

Заняття 7. Адміністрування Active Directory.

Процес адміністрування Active Directory полягає в управлінні:

• доменами Active Directory;
• структурою каталогу домену;
• об'єктами домену (користувачами, контактами, комп'ютерами, групами, принтерами і т. п.);
• сайтами та мережами Active Directory;
• репликацией даних.

Всі ці завдання вирішуються за допомогою трьох консолей управління, які встановлюються в процесі установки Active Directory на контролер домену:

• Active Directory - домени і довіра
• Active Directory - користувачі і комп'ютери
• Active Directory - сайти і служби

На інші комп'ютери домену ці консолі можуть бути встановлені в складі пакету адміністративних утиліт.

Опис об'єктів Active Directory.

Всі консолі управління Active Directory використовують єдиний набір значків для об'єктів каталогу. Нижче представлені всі основні об'єкти Active Directory і відповідні їм значки. Ця інформація допоможе вам легше орієнтуватися в каталозі Active Directory.

Active Directory

Являє каталог Active Directory в цілому. В інструментах управління практично не зустрічається, за винятком вікон пошуку і вибору об'єктів

Являє домен Windows. Дозволяє управляти глобальними параметрами домену

Контейнер, папка

Представляє простий контейнерний об'єкт. Такі об'єкти можуть створюватися тільки операційною системою і зазвичай генеруються при установці Active Directory

організаційний підрозділ

Являє ОП. Цей контейнерний об'єкт служить для побудови ієрархії контейнерів, що містять інші об'єкти

Користувач

Являє обліковий запис користувача. об'єкт містить велика кількість атрибутів, що описують користувача

Являє користувача - не є її членом домену. Контакти використовуються для зберігання в каталозі інформації про зовнішніх користувачів, не є обліковими записами і не дозволяють користувачам реєструватися в домені

Представляє групу користувачів і зазвичай використовується для спрощення управління дозволами і привілеями

комп'ютер

Являє одиночний комп'ютер в локальної мережі. Для комп'ютерів під управлінням Windows NT, 2000 і пізніших версій Windows, є обліковим записом комп'ютера. Об'єкт містить основні відомості про комп'ютер і дозволяє керувати ним

контролер домену

Представляє окремий контролер домену Windows. В оснащенні Active Directory - користувачі і комп'ютери контролери домену відображаються такими ж значками, що і звичайні комп'ютери. Зазначений значок використовується для відображення контролерів домену в оснащенні Active Directory - сайти і служби. Дозволяє управляти параметрами контролера домену

Являє мережевий принтер. Об'єкт є посиланням на принтер, наданий в загальний доступ. Об'єкти цього типу можуть додаватися в каталог як вручну, так і автоматично. Ручне додавання можливо тільки для принтерів, підключених до комп'ютерів під управлінням більше ранніх версій, Ніж Windows 2000

Загальний ресурс

Являє загальну папку. Об'єкт є посиланням на загальний мережевий ресурс і не містить ніяких даних

параметри ліцензування

Являє глобальні параметри ліцензування сайту. Дозволяє централізовано керувати ліцензіями на програмні продукти та їх репликацией в межах сайту

Доменна політика

Представляє об'єкт доменної політики. Дозволяє налаштовувати параметри політики рівня домену

Політика контролера домену

Представляє об'єкт політики контролера домену. Дозволяє налаштовувати параметри політики для всіх контролерів домену

групова політика

Являє довільний об'єкт групової політики. Дозволяє управляти параметрами політики для об'єктів того контейнера, до якої застосовано

Представляє окремий сайт Active Directory. Дозволяє управляти його параметрами. Містить посилання на об'єкти контролерів доменів, зв'язку сайтів, параметри сайту

з'єднання

Представляє з'єднання між контролерами доменів в межах сайту. Дозволяє управляти топологією і параметрами реплікації між контролерами домена усередині сайту

зв'язок сайтів

Представляє окрему зв'язок між сайтами. Дозволяє управляти топологією і параметрами межсайтовой реплікації

параметри сайту

Представляє об'єкт конфігурації сайту або контролера домену в сайті. Дозволяє управляти параметрами реплікації всього сайту або параметрами взаємодії контролера домену з сайтом

Представляє окрему підмережу, пов'язану з певним сайтом. Дозволяє вказати кордону IP-мережі

значок	об'єкт	опис

Active Directory (AD) - це службові програми, розроблені для операційної системи Microsoft Server. Спочатку створювалася як полегшеного алгоритму доступу до каталогів користувачів. З версії Windows Server 2008 року з'явилася інтеграція з сервісами авторизації.

Дає можливість дотримуватися групову політику, яка застосовує однотипність параметрів і ПО на всіх підконтрольних ПК за допомогою System Center Configuration Manager.

Якщо простими словами для початківців - це роль сервера, яка дозволяє з одного місця управляти всіма доступами і дозволами в локальній мережі

Функції і призначення

Microsoft Active Directory - (так званий каталог) пакет засобів, що дозволяє проводити маніпуляції з користувачами і даними мережі. основна ціль створення - полегшення роботи системних адміністраторів в великих мережах.

Каталоги містять в собі різну інформацію, що відноситься до користувачів, груп, пристроїв мережі, файлових ресурсів - одним словом, об'єктам. Наприклад, атрибути користувача, які зберігаються в каталозі повинні бути наступними: адреса, логін, пароль, номер мобільного телефону і т.д. Каталог використовується в якості точки аутентифікації, За допомогою якої можна дізнатися потрібну інформацію про користувача.

Основні поняття, що зустрічаються в ході роботи

Існує ряд спеціалізованих понять, які застосовуються при роботі з AD:

1. Сервер - комп'ютер, що містить всі дані.
2. Контролер - сервер з роллю AD, який обробляє запити від людей, що використовують домен.
3. Домен AD - сукупність пристроїв, об'єднаних під одним унікальним ім'ям, одночасно використовують загальну базу даних каталогу.
4. Сховище даних - частина каталогу, що відповідає за зберігання та вилучення даних з будь-якого контролера домену.

Як працюють активні директорії

Основними принципами роботи є:

• авторизація, За допомогою якої з'являється можливість скористатися ПК в мережі просто ввівши особистий пароль. При цьому, вся інформація з облікового запису переноситься.
• захищеність. Active Directory містить функції розпізнавання користувача. Для будь-якого об'єкта мережі можна віддалено, з одного пристрою, виставити потрібні права, які будуть залежати від категорій і конкретних користувачів.
• адміністрування мережі з однієї точки. Під час роботи з Актив директор сисадміну не потрібно заново налаштовувати все ПК, якщо потрібно змінити права на доступ, наприклад, до принтера. Зміни проводяться віддалено і глобально.
• повна інтеграція з DNS. З його допомогою в AD не виникає плутанини, всі пристрої позначаються точно так же, як і у всесвітній павутині.
• великі масштаби. Сукупність серверів здатна контролюватися однією Active Directory.
• Пошук проводиться за різними параметрами, наприклад, ім'я комп'ютера, логін.

Об'єкти і атрибути

Об'єкт - сукупність атрибутів, об'єднаних під власною назвою, що представляють собою ресурс мережі.

Атрибут - характеристики об'єкта в каталозі. Наприклад, до таких відносяться ПІБ користувача, його логін. А ось атрибутами облікового запису ПК можуть бути ім'я цього комп'ютера і його опис.

"Співробітник" - об'єкт, який володіє атрибутами "ПІБ", "Посада" і "ТабN".

Контейнер і ім'я LDAP

Контейнер - тип об'єктів, які можуть складатися з інших об'єктів. Домен, наприклад, може включати в себе об'єкти облікових записів.

Основне їх призначення - упорядкування об'єктів за видами ознак. Найчастіше контейнери застосовують для угруповання об'єктів з однаковими атрибутами.

Майже всі контейнери відображають сукупність об'єктів, а ресурси відображаються унікальним об'єктом Active Directory. Один з головних видів контейнерів AD - модуль організації, або OU (organizational unit). Об'єкти, які поміщаються в цей контейнер, належать тільки домену, в якому вони створені.

Полегшений протокол доступу до каталогів (Lightweight Directory Access Protocol, LDAP) - основний алгоритм підключень TCP / IP. Він створений з метою знизити кількість нюанс під час доступу до служб каталогу. Також, в LDAP встановлені дії, що використовуються для запиту і редагування даних каталогу.

Дерево і сайт

Дерево доменів - це структура, сукупність доменів, що мають загальні схему і конфігурацію, які утворюють спільний простір імен та пов'язані довірчими стосунками.

Ліс доменів - сукупність дерев, пов'язаних між собою.

Сайт - сукупність пристроїв в IP-подсетях, що представляє фізичну модель мережі, планування якої відбувається незалежно від логічного представлення його побудови. Active Directory має можливість створення n-ного кількості сайтів або об'єднання n-ного кількості доменів під одним сайтом.

Установка і настройка Active Directory

Тепер перейдемо безпосередньо до налаштування Active Directory на прикладі Windows Server 2008 (на інших версіях процедура ідентична):

Натиснути на кнопку "ОК". Варто зауважити, що подібні значення не є обов'язковими. Можна використовувати IP адреса і DNS зі своєї мережі.

• Далі потрібно зайти в меню "Пуск", вибрати "Адміністрування" і "".
  
• Перейти до пункту "Ролі", вибрати поле " Додати ролі”.
  
• Вибрати пункт "Доменні служби Active Directory" двічі натиснути "Далі", а після "Встановити".
  
• Дочекатися закінчення установки.
  
• Відкрити меню "Пуск" - " виконати". В поле ввести dcpromo.exe.
  
• Клікнути "Далі".
  
• Вибрати пункт " створити новий домен в новому лісі"І знову натиснути" Далі ".
  
• У наступному вікні ввести назву, натиснути "Далі".
  
• вибрати режим сумісності (Windows Server 2008).
  
• У наступному вікні залишити все за умовчанням.
  
• запускається вікно конфігураціїDNS. Оскільки на сервері він не використовувався до цього, делегування створено не було.
  
• Вибрати директорію для установки.
  
• Після цього кроку потрібно задати пароль адміністрування.

Для надійності пароль повинен відповідати таким вимогам:

Після того як AD завершить процес налаштування компонентів, необхідно перезавантажити сервер.

Налаштування завершено, оснащення та роль встановлені в систему. Встановити AD можна тільки на Windows сімейства Server, звичайні версії, наприклад 7 або 10, можуть дозволити встановити тільки консоль управління.

Адміністрування в Active Directory

За замовчуванням в Windows Server консоль Active Directory Users and Computers працює з доменом, до якого належить комп'ютер. Можна отримати доступ до об'єктів комп'ютерів і користувачів в цьому домені через дерево консолі або підключитися до іншого контролера.

Засоби цієї ж консолі дозволяють переглядати додаткові параметри об'єктів і здійснювати їх пошук, можна створювати нових користувачів, групи і змінювати з дозволу.

До слова, існує 2 типу груп в Актив директор - безпеки і поширення. Групи безпеки відповідають за розмежування прав доступу до об'єктів, вони можуть використовуватися, як групи поширення.

Групи поширення не можуть розмежовувати права, а використовуються в основному для розсилки повідомлень в мережі.

Що таке делегування AD

Саме делегування - це передача частини дозволів і контролю від батьківського об'єкта іншого відповідальної стороні.

Відомо, що кожна організація має в своєму штабі кілька системних адміністраторів. різні завдання повинні покладатися на різні плечі. Для того щоб застосовувати зміни, необхідно мати права і дозволами, які діляться на стандартні і особливі. Особливі - застосовні до певного об'єкту, а стандартні представляють собою набір, що складається з існуючих дозволів, які роблять доступними або недоступними окремі функції.

Установка довірчих відносин

В AD є два види довірчих відносин: «односпрямовані» і «двонаправлені». У першому випадку один домен довіряє іншому, але не навпаки, відповідно перший має доступ до ресурсів другого, а другий не має доступу. У другому виді довіру "взаємне". Також існують «вихідні» та «входять» відносини. У вихідних - перший домен довіряє другого, таким чином дозволяючи користувачам другого використовувати ресурси першого.

При установці слід провести такі процедури:

• перевірити мережеві зв'язку між котроллерами.
• Перевірити настройки.
• налаштувати розпізнавання імен для зовнішніх доменів.
• створити зв'язок з боку довіряє домену.
• Створити зв'язок з боку контролера, до якого адресовано довіру.
• Перевірити створені односторонні відносини.
• якщо виникає небхідно у встановленні двосторонніх відносин - зробити установку.

Глобальний каталог

Це контролер домену, який зберігає копії всіх об'єктів лісу. Він дає користувачам і програмам здатність шукати об'єкти в будь-якому домені поточного лісу за допомогою засобів виявлення атрибутів, Включених в глобальний каталог.

Глобальний каталог (ГК) включає в себе обмежений набір атрибутів для кожного об'єкта лісу в кожному домені. Дані він отримує з усіх розділів каталогу доменів в лісі, вони копіюються з використанням стандартного процесу реплікації служби Active Directory.

Схема визначає, чи буде атрибут скопійований. існує можливість конфігурації додаткових характеристик , Які будуть створюватися повторно в глобальному каталозі за допомогою "Схеми Active Directory". Для додавання атрибута в глобальний каталог, потрібно вибрати атрибут реплікації і скористатися опцією "Копіювати". Після цього створиться реплікація атрибута в глобальний каталог. Значення параметра атрибуту isMemberOfPartialAttributeSet стане істиною.

Для того щоб дізнатися місце розташування глобального каталогу, потрібно в командному рядку ввести:

Dsquery server -isgc

Реплікація даних в Active Directory

Реплікація - це процедура копіювання, яку проводять при необхідності зберігання однаково актуальних відомостей, що існують на будь-якому контролері.

вона проводиться без участі оператора. Існують такі види вмісту реплік:

• Репліки даних створюються з усіх існуючих доменів.
• Репліки схем даних. Оскільки схема даних єдина для всіх об'єктів лісу Активних Директорій, її репліки зберігаються на всіх доменах.
• Дані конфігурації. Показує побудова копій серед контролерів. Відомості поширюються на всі домени лісу.

Основними типами реплік є внутрішньовузлових і Межузловая.

У першому випадку, після змін система знаходиться в очікуванні, потім повідомляє партнера про створення репліки для завершення змін. Навіть при відсутності змін, процес реплікації відбувається через певний проміжок часу автоматично. Після застосування критичних змін до каталогів реплікація відбувається відразу.

Процедура реплікації між вузлами відбувається в проміжках мінімального навантаження на мережу, це дозволяє уникнути втрат інформації.

У листопадовому номері КомпьютерПресс ми ознайомили вас з ключовими можливостями Windows PowerShell - нового середовища командного рядка і мови сценаріїв від компанії Microsoft. Сьогодні ми розглянемо застосування цього середовища для адміністрування корпоративної директорії Active Directory (AD).

Коротко про PowerShell

Windows PowerShell - нова командний рядок і мова сценаріїв від компанії Microsoft. PowerShell є компонентом Windows Server 2008 (треба тільки вибрати його в Server Manager) і доступна для завантаження з сторінки www.microsoft.com/powershell для Windows XP, Windows Server 2003 і Windows Vista.

Якщо ви не знайомі з Windows PowerShell, то рекомендуємо вам спочатку прочитати статтю «Windows PowerShell. Коротко про головне »в КомпьютерПресс № 11'2007. У даній публікації ми обмежимося лише коротким повторенням основ і відразу перейдемо до головної теми статті.

Отже, команди PowerShell називаються Командлети (cmdlet) і складаються з дієслова (наприклад, get, set, new, remove, move, connect) і іменника в однині, що описує об'єкт дії. Між ними ставиться дефіс. Виходить щось на зразок: get-process, stop-service і т.п.

Команди, як правило, пов'язуються конвеєром, що позначається вертикальною рискою (|). Цей знак означає, що вся колекція об'єктів з попередньої команди передається на вхід наступного.

Така об'єктна орієнтованість дуже зручна, оскільки дозволяє легко оперувати об'єктами і пов'язувати команди разом. У цій статті ми розповімо, як подібний підхід полегшує управління корпоративною директорією на базі Active Directory.

Способи роботи з Active Directory

Директорія Active Directory є основою корпоративних мереж на базі Windows Server 2000, 2003 і 2008. Саме там зберігаються всі облікові записи користувачів, інформація про групи, комп'ютерах мережі, ящиках електронної пошти та багато іншого.

Всім цим багатством треба управляти, для чого призначений відповідний інструментарій, що входить до складу Windows Server, але саме PowerShell дозволяє легко автоматизувати масові дії, спрямовані на велику кількість об'єктів.

Існує три основних способи роботи з Active Directory в Windows PowerShell:

• за допомогою інтерфейсу Active Directory Service Interfaces (ADSI) - цей спосіб є найбільш складним, але працює в будь-яку установку PowerShell і не вимагає додаткових модулів. Він також найбільш близький до способу управління, який використовувався в мові сценаріїв VBScript;
• за допомогою провайдера Active Directory, що входить в розширення PowerShell, - цей спосіб дозволяє підключити директорію у вигляді диска на вашому комп'ютері і переміщатися по ній за допомогою відповідних команд: dir, cd і т.д. даний спосіб вимагає установки додаткового модуля з сайту codeplex;
• за допомогою командлетів управління Active Directory - це найбільш зручний спосіб маніпулювання об'єктами директорії, але він теж вимагає додаткової інсталяції відповідних модулів.

ADSI

Active Directory Service Interfaces (ADSI) добре знайомий всім, хто намагався писати сценарії на мові VBScript. У PowerShell цей інтерфейс реалізований за допомогою так званого адаптера. Вказавши в квадратних дужках назву адаптера (ADSI) і шлях до об'єкта в директорії на мові LDAP-запиту (Lightweight Directory Access Protocol - протокол роботи з директоріями, який підтримує і AD), ми отримуємо доступ до об'єкта з директорії і можемо далі викликати його методи .

Наприклад, під'єднані до одного з контейнерів директорії і створимо в ньому нову призначену для користувача обліковий запис.

$ ObjOU \u003d "LDAP: // mydc: 389 / ou \u003d CTO, dc \u003d Employees, dc \u003d testdomain, dc \u003d local"

Отже, тепер у нас змінна $ objOU містить інформацію про контейнер (імена змінних в PowerShell починаються зі значка долара).

викличемо метод Create і створимо в контейнері нового користувача:

$ ObjUser \u003d $ objOU.Create ( "user", "cn \u003d Dmitry Sotnikov")

Тепер ми можемо встановлювати різні атрибути:

$ ObjUser.Put ( «sAMAccountName", "dsotnikov")

І нарешті, вкажемо директорії, що ці зміни треба застосувати:

$ ObjUser.SetInfo ()

Перевагами використання адаптера ADSI є:

• його наявність в будь-який постачанні PowerShell. Якщо у вас встановлений PowerShell і є директорія, з якої вам треба працювати, - ви маєте всі, що вам треба;
• застосування підходу, близького до VBScript. Якщо у вас багатий досвід роботи з Директорією на мові сценаріїв VBScript або в пріложеніях.NET, ви зможете впевнено себе почувати, використовуючи цей підхід.

На жаль, у методу є і недоліки:

• складність - це найскладніший спосіб роботи з Директорією. Писати шлях до об'єкта у вигляді запиту LDAP нетривіально. Для будь-якої роботи з атрибутами виникне потреба у вказівках їх внутрішніх імен, а значить, треба пам'ятати, що атрибут, що позначає місто користувача, називається не «City», а «l» і т.д .;
• громіздкість - як видно з прикладу, найпростіша операція створення одного облікового запису займає як мінімум чотири рядки, включаючи службові операції приєднання до контейнера і застосування змін. Таким чином, навіть відносно прості операції стають схожі на складні сценарії.

провайдер AD

PowerShell дозволяє представляти різні системи у вигляді додаткових дисків комп'ютера за допомогою так званих провайдерів. Наприклад, до складу поставки PowerShell входить провайдер реєстру і ми можемо переміщатися по реєстру за допомогою знайомих і улюблених усіма нами команд cd і dir (для любителів UNIX команда ls теж підтримується).

Провайдера Active Directory в складі PowerShell немає, але його можна встановити, зайшовши на сайт проекту розширень PowerShell - PowerShell Community Extensions: http://www.codeplex.com/PowerShellCX.

Це проект з відкритим кодом, який додає велику кількість команд в систему PowerShell, а крім того, встановлює провайдера AD.

Використання провайдера Active Directory

Після установки розширень, набравши Get-PSDrive, ми бачимо, що до колишнім дискам додався диск поточної активної директорії.

Тепер ми можемо зайти в цю директорію, набравши cd і вказавши ім'я домену, а в будь-якому контейнері використовувати команду dir, щоб побачити його вміст.

Крім того, можна викликати і інші звичні команди управління файлами (наприклад, del).

До безперечних переваг використання провайдера можна віднести:

природність представлення структури директорії - директорія AD за своєю природою ієрархічна і схожа на файлову систему;

зручність знаходження об'єктів - застосовувати cd і dir куди зручніше, ніж складати запит на мові LDAP.

З недоліків кидаються в очі:

• складність внесення змін до об'єкти - провайдер допомагає легко дістатися до об'єкта, але щоб щось поміняти, нам знову доводиться використовувати всі ті ж діректорной об'єкти, що і в методі ADSI, а для цього треба оперувати на низькому рівні службових методів і атрибутів AD;
• необхідність додаткової установки - провайдер не входить до складу PowerShell, і для його застосування необхідно завантажити та встановити розширення PowerShell;
• третьестороннее походження - розширення PowerShell не є продуктом компанії Microsoft. Вони створені ентузіастами проекту. Ви вільні їх використовувати, але за технічною підтримкою доведеться звертатися не в Microsoft, а на сайт проекту.

командлети AD

Крім описаного вище провайдера, для роботи з AD існує і набір командлетів (часто званих також AD cmdlets або QAD cmdlets), доступний з сайту http://www.quest.com/activeroles_server/arms.aspx.

Командлети складаються зі стандартних дієслів операцій (get-, set-, rename-, remove-, new-, move-, connect-) і іменників об'єктів з префіксом QAD (-QADUser, -QADGroup, -QADComputer, -QADObject).

Наприклад, щоб створити нову парну запис користувача, знадобиться виконати таку команду:

Переваги даного підходу такі:

• простота - використання командлетів приховує від вас складність директорії, її схеми і внутрішніх атрибутів. Ви працюєте з об'єктами директорії на рівні зрозумілих назв об'єктів (user, group, computer), їх властивостей (name, password, city, department) і дій над ними (get, set, remove, move, new);
• стислість і виразність - як ми бачили, більшу частину дій за допомогою командлетів можна виразити у вигляді простих і природних однорядкових операцій.

• необхідність додаткової установки - командлети, як і провайдер, що не входять до складу PowerShell, і для їх використання необхідно завантажити і встановити відповідну бібліотеку;
• третьестороннее походження - командлети для роботи з AD не є продуктом компанії Microsoft. Вони створені партнером Microsoft - компанією Quest Software. Ви вільні їх застосовувати, але за технічною підтримкою доведеться звертатися не в Microsoft, а на форуми по роботі з Active Directory на сайті PowerGUI.org.

На наш погляд, дані недоліки з лишком компенсуються простотою і природністю у використанні, так що практичні приклади будуть приведені із застосуванням саме цього підходу.

Управління Active Directory

Давайте подивимося, як PowerShell дозволяє виконувати основні операції по роботі з Директорією AD:

• отримання інформації;
• зміна властивостей;
• робота з групами;
• створення нових об'єктів;
• зміна структури директорії

Отримання інформації

Отримання інформації здійснюється в PowerShell за допомогою командлетів з дієсловом Get.

Наприклад, щоб отримати список всіх користувачів, наберемо:

Для груп:

Для записів комп'ютерів:

Якщо вам потрібні не всі записи, а якісь конкретні, ви можете вибрати саме їх за допомогою параметрів команд.

Отримання списку користувачів

Всі групи з контейнера Users:

Get-QADGroup -SearchRoot scorpio.local / users

Всі користувачі з відділу продажів московського офісу, чиї імена починаються на букву A:

Get-QADUser -City Moscow -Department Sales -Name a *

При цьому ви можете сказати PowerShell'y, в якому вигляді ви хочете бачити отримувану інформацію.

Таблиця з іменами, містами і підрозділами співробітників:

Get-QADUser | Format-Table Name, City, Department

Те ж саме з сортуванням по містах:

Get-QADUser | Sort City | Format-Table DisplayName, City, Department

Сортування значень і вибір полів для виведення

Для облікового уявлення тієї ж інформації просто використовуємо команду Format-List:

Get-QADUser | Format-List Name, City, Department

Експортувати інформацію в файл CSV (comma-separated values \u200b\u200b- значення через кому):

Get-QADUser | Select Name, City, Department | Out-CSV users.csv

Створити звіт в форматі HTML:

Get-QADUser | Select Name, City, Department | ConvertTo-HTML | Out-File users.html

Таким чином, одним рядком простий команди PowerShell ви можете створювати складні звіти в зручному для вас форматі.

PowerShell дозволяє змінювати атрибути безлічі
записів однією командою

зміна властивостей

Після того як ми освоїлися з отриманням інформації з директорії, прийшла пора щось в ній змінити.

Властивостями об'єктів можна маніпулювати за допомогою команд Set- *.

Наприклад, поміняємо мені телефон:

Set-QADUser 'Dmitry Sotnikov' -Phone '111-111-111'

Але, зрозуміло, куди більш цікаві масові зміни. Для цього ми можемо застосовувати конвеєр PowerShell, тобто отримувати список потрібних нам об'єктів за допомогою команд Get- і відправляти їх в команду Set- для внесення змін.

Наприклад, наш пермський офіс переїхав до нового приміщення. Візьмемо всіх користувачів Пермі і дамо їм новий номер телефону:

Get-QADUser -City Perm | Set-QADUser -PhoneNumber '+ 7-342-1111111'

Для більш складних маніпуляцій можна використовувати командлет ForEach-Object. Наприклад, кожному користувачеві дамо опис, що складається з його відділу і міста:

Get-QADUser | ForEach-Object (Set-QADUser $ _ -Description (S_.City + «« + $ _. Department))

Змінна $ _ в даному прикладі означає поточний об'єкт колекції.

PowerShell надає можливості зручної роботи
з групами користувачів

Робота з групами

Робота з групами і членством в них - ще одна масова операція, яку часто хочеться автоматизувати. PowerShell надає таку можливість.

Отримання членів групи проводиться за допомогою командлета Get-QADGroupMember:

Get-QADGroubMember Managers

Додати об'єкт до групи теж нескладно:

Add-QADGroupMember Scorpio \\ Managers -Member dsotnikov

Аналогічно видалення з групи здійснюється за допомогою командлети Remove-QADGroupMember.

Але, зрозуміло, найбільш корисними є масові маніпуляції. Додамо всіх менеджерів в відповідну групу:

Get-QADUser -Title Manager | Add-QADGroupMember Scorpio \\ Managers

Скопіюємо членство в групі:

Get-QADGroupMember Scorpio \\ Managers | Add-QADGroupMember Scorpio \\ Managers_Copy

Використовуємо фільтр, щоб скопіювати не всіх членів групи, а тільки тих, хто відповідає певним критерієм (Наприклад, знаходиться в потрібному регіоні):

Get-QADGroupMember Scorpio \\ Managers | where ($ _. City -eq 'Ekaterinburg') | Add-QADGroupMember Scorpio \\ Ekaterinburg_Managers

Зверніть увагу, як ми відфільтрували користувачів за допомогою команди where і логічного умови (Логічний оператор -eq - це оператор рівності в PowerShell, від англ.equals).

створення об'єктів

Створення об'єктів, як ми вже бачили, здійснюється командами New:

New-QADUser -ParentContainer scorpio.local / Employees -Name 'Dmitry Sotnikov'

New-QADGroup -ParentContainer scorpio.local / Employees -Name 'Managers' -Type Security -Scope Global

Ви можете встановити і будь-які інші атрибути в процесі створення запису:

New-QADUser -ParentContainer scorpio.local / Employees -Name 'Dmitry Sotnikov' -samAccountName dsotnikov -City 'Saint-Petersburg' -Password ' [Email protected]’

Щоб активувати запис, просто відправте її по конвеєру в Enable-QADUser (не забудьте встановити пароль - інакше операція не відбудеться):

New-QADUser -ParentContainer scorpio.local / Employees -Name 'Dmitry Sotnikov' -Password ' [Email protected]'| Enable-QADUser

Import-CSV new_users.csv | ForEach-Object (New-QADUser -ParentContainer scorpio.local / users -Name ($ _. Familia + ',' + $ _. Imya) -samAccountName ($ _. Imya + $ _. Familia) -Department $ _. Department -Title $ _. Title)

Зверніть увагу на те, що ми на льоту складаємо назву облікового запису з прізвища та імені користувача.

Приклад використання файлу імпорту
записів

Зміна структури директорії

І нарешті, звичайно ж, можна управляти структурою директорії.

Наприклад, можна створювати нові контейнери:

New-QADObject -type OrganizationUnit -ParentContainer scorpio.local -Name NewOU

і переміщати в них елементи один за одним:

Move-QADObject MyServer -To scorpio.local / servers

або оптом:

Get-QADUser -Disabled | Move-QADObject -To scorpio.local / Disabled

Імпортуємо файл і створюємо нові облікові записи

Ми легко можемо вибрати облікові записи, що задовольняють
певним критерієм, і перемістити їх в інший контейнер

І багато іншого

Мми розглянули тільки малу частину сценаріїв з управління активної Директорією. Щоб отримати повний перелік командлетів для AD, виконайте команду:

Get-Command * -QAD *

Щоб отримати довідку по будь-якій команді:

Get-Help Get-QADUser

Щоб дізнатися, які властивості є у його видають командою об'єкта:

Get-User | Get-Member

Можливості PowerShell практично безмежні, але при цьому знайти їх досить легко.

висновок

Ккак ми бачили, PowerShell є відмінним засобом управління Active Directory. Частина властивостей (ADSI) доступна в будь-яку установку PowerShell. Деякі (провайдер і командлети) вимагають додаткових модулів. Всі вони надають величезні можливості, щоб автоматизувати управління вашої корпоративної Директорією, а значить, зменшити ризики, позбутися від рутини і збільшити вашу ефективність на роботі.

Головне - ці технології вже доступні і здатні допомогти вам в адмініструванні ввірених систем вже сьогодні. На закінчення процитуємо системного адміністратора ЗАТ «УК« ЕвразФінанс »Василя Гусєва:« У нашій компанії, як і практично скрізь, Active Directory є одним з найбільш використовуваних і критичних сервісів. За допомогою PowerShell і AD Cmdlets багато завдань стало простіше виконувати через командний рядок, ніж через ADUC (Active Directory Users and Computers. - Прим. ред.). Ніколи ще автоматизація Active Directory не була такою легкою і доступною ».

Олександр Ємельянов

Адміністрування облікових записів в домені Active Directory

Одна з найважливіших завдань адміністратора - управління локальними і доменними обліковими записами: аудит, квотування і розмежування прав користувачів в залежності від їх потреб і політики компанії. Що може запропонувати в цьому плані Active Directory?

В продовження циклу статей про Active Directory сьогодні ми поговоримо про центральному ланці в процесі адміністрування - управлінні користувача обліковими даними в рамках домену. Нами буде розглянуто:

• створення облікових записів і керування ними;
• типи профілів користувачів і їх застосування;
• групи безпеки в доменах AD і їх поєднання.

В кінцевому підсумку ви зможете застосувати ці матеріали для побудови робочої інфраструктури або доопрацювання існуючої, яка буде відповідати вашим вимогам.

Забігаючи вперед, скажу, що тема тісно пов'язана із застосуванням групових політик для адміністративних цілей. Але внаслідок просторості матеріалу, присвяченого їм, вона буде розкрита в рамках наступної статті.

Знайомство з Active Directory - Users and Computers

Після того як ви встановили свій перший контролер в домені (тим самим ви власне і організували домен), в розділі «Адміністрування» з'являється п'ять нових елементів (див. Рис. 1).

Для управління об'єктами AD використовується Active Directory - користувачі й комп'ютери (ADUC - AD Users and Computers, див. Рис. 2), яка також може бути викликана через меню «Виконати» за допомогою DSA.MSC.

За допомогою ADUC можна створювати і видаляти користувачів, призначати сценарії входу для облікового запису, управляти членством в групах і груповими політиками.

Існує також можливість для управління об'єктами AD без звернення до сервера безпосередньо. Її забезпечує пакет ADMINPAK.MSI, розташований в директорії «% SYSTEM_DRIVE% \\ Windows \\ system32». Розгорнувши його на своїй машині і наділивши себе правами адміністратора домену (якщо таких не було), ви зможете адмініструвати домен.

При відкритті ADUC ми побачимо гілку нашого домену, що містить п'ять контейнерів і організаційних одиниць.

• Builtin. Тут містяться вбудовані локальні групи, які є на будь-який серверній машині, включаючи і контролери домену.
• Users і Computers. Це контейнери, в які за умовчанням розміщуються користувачі, групи і облікові записи комп'ютерів при установці системи поверх Windows NT. Але для створення і зберігання нових облікових записів немає необхідності користуватися тільки цими контейнерами, користувача можна створити навіть в контейнері домену. При включенні комп'ютера в домен він з'являється саме в контейнері Computers.
• Domain Controllers. Це організаційна одиниця (OU, Organizational Unit), що містить за замовчуванням контролери домену. При створенні нового контролера він з'являється тут.
• ForeignSecurityPrincipals. Це контейнер за умовчанням для об'єктів із зовнішніх довіряємо доменів.

Важливо пам'ятати, що об'єкти групових політик прив'язуються виключно до домену, OU або сайту. Це потрібно враховувати при створенні адміністративної ієрархії вашого домену.

Вводимо комп'ютер в домен

Процедура виконується безпосередньо на локальній машині, яку ми хочемо підключити.

Вибираємо «Мій комп'ютер -\u003e Властивості -\u003e Ім'я комп'ютера», натискаємо кнопку «Змінити» і в меню «Є членом» вибираємо «домену». Вводимо ім'я домену, в який ми хочемо додати наш комп'ютер, і далі доводимо, що у нас є права на додавання робочих станцій до домену, ввівши аутентифікаційні дані адміністратора домену.

Створюємо користувача домену

Для створення користувача потрібно вибрати будь-який контейнер, в якому він буде розташовуватися, натиснути на ньому правою кнопкою миші і вибрати «Створити -\u003e Користувач». Відкриється майстер створення користувача. Тут ви зможете вказати безліч його атрибутів, починаючи з імені користувача і тимчасовими рамками входу в домен і закінчуючи налаштуваннями для термінальних служб і віддаленого доступу. По завершенні роботи майстра ви отримаєте нового користувача домену.

Потрібно зауважити, що в процесі створення користувача система може «лаятися» на недостатню складність пароля або його стислість. Пом'якшити вимоги можна, відкривши «Політику безпеки домена» (Default Domain Security Settings) і далі «Параметри безпеки -\u003e Політики облікових записів -\u003e Політика паролів».

Нехай ми створили користувача Іван Іванов в контейнері Users (User Logon Name: [Email protected]). Якщо в системах NT 4 це ім'я грало лише роль прикраси, то в AD воно є частиною імені в форматі LDAP, яке цілком виглядає так:

cn \u003d "Іван Іванов", cn \u003d "Users", dc \u003d "hq", dc \u003d "local"

Тут cn - container name, dc - domain component. Описи об'єктів в форматі LDAP використовуються для виконання сценаріїв WSH (Windows Script Hosts) або для програм, що використовують протокол LDAP для зв'язку з Active Directory.

Для входу в домен Іван Іванов повинен буде використовувати ім'я в форматі UPN (Universal Principal Name): [Email protected] Також в доменах AD буде зрозуміло написання імені в старому форматі NT 4 (перед Win2000), в нашому випадку HQ \\ Ivanov.

При створенні облікового запису користувача їй автоматично привласнюється ідентифікатор безпеки (SID, Security Identifier) \u200b\u200b- унікальний номер, за яким система і визначає користувачів. Це дуже важливо розуміти, так як при видаленні облікового запису видаляється і її SID і ніколи не використовується повторно. А кожна нова обліковий запис буде мати свій новий SID, саме тому вона не зможе отримати права і привілеї старої.

Обліковий запис можна перемістити в інший контейнер або OU, відключити або, навпаки, включити, копіювати або поміняти пароль. Копіювання часто застосовується для створення декількох користувачів з однаковими параметрами.

Робоче середовище користувача

Облікові дані, що зберігаються централізовано на сервері, дозволяють користувачам однозначно ідентифікувати себе в домені і отримувати відповідні права і доступ до робочого середовища. Всі операційні системи сімейства Windows NT використовують для створення робочого оточення на клієнтській машині профіль користувача.

локальний профіль

Розглянемо основні складові профілю користувача:

• Розділ реєстру, що відповідає певному користувачеві ( «вулик» або «hive»).Фактично дані цієї гілки реєстру зберігаються в файлі NTUSER.DAT. Він розташовується в папці% SYSTEMDRIVE% \\ Documents and Settings \\ User_name, яка містить профіль користувача. Таким чином, при вході конкретного користувача в систему в розділ реєстру HKEY_CURRENT_USER завантажується «вулик» NTUSER.DAT з папки, що містить його профіль. І все змінити установки користувальницької середовища за сеанс будуть зберігатися саме в цей «вулик». Файл NTUSER.DAT.LOG - це журнал транзакцій, який існує для захисту файлу NTUSER.DAT. Однак для користувача Default User ви навряд чи його знайдете, оскільки він є шаблоном. Про це далі. Адміністратор має можливість редагувати «вулик» певного користувача прямо зі свого робочого середовища. Для цього за допомогою редактора реєстру REGEDIT32 він повинен завантажити «вулик» в розділ HKEY_USERS, а потім після внесення змін вивантажити його.
• папки файлової системи, Що містять файли налаштувань. Вони розташовуються в спеціальному каталозі% SYSTEMDRIVE% \\ Documents and Settings \\ User_name, де User_name - ім'я користувача, який увійшов в систему. Тут зберігаються елементи робочого столу, елементи автозавантаження, документи та ін.

Якщо користувач вперше входить в систему, відбувається наступне:

1. Система перевіряє, чи існує локальний профіль цього користувача.
2. Не знайшовши його, система звертається до контролера домену в пошуку доменного профілю за замовчуванням, який повинен розташовуватися в папці Default User на загалом ресурсі NETLOGON; якщо система виявила цей профіль, він копіюється локально на машину в папку% SYSTEMDRIVE% \\ Documents and Settings з ім'ям користувача, в іншому випадку він копіюється з локальної папки% SYSTEMDRIVE% \\ Documents and Settings \\ Default User.
3. В розділ реєстру HKEY_CURRENT_USER завантажується призначений для користувача «вулик».
4. При виході з системи всі зміни зберігаються локально.

В кінцевому підсумку робоче оточення користувача - це об'єднання його робочого профілю та профілю All Users, в якому знаходяться загальні для всіх користувачів даної машини настройки.

Тепер кілька слів про створення профілю за замовчуванням для домену. Створіть фіктивний профіль на своїй машині, налаштуйте його відповідно до ваших потреб або з вимогами корпоративної політики. Потім вийдіть із системи і знову зайдіть як адміністратор домена. На загальному ресурсі NETLOGON-сервера створіть папку Default User. Далі за допомогою вкладки User Profiles в апплете System (див. Рис. 3) скопіюйте ваш профіль в цю папку і надайте права на її використання групі Domain Users або будь-якої іншої підходящої групі безпеки. Все, профіль за замовчуванням для вашого домену створено.

переміщуваний профіль

Active Directory як гнучка і масштабована технологія дозволяє працювати в середовищі вашого підприємства з переміщуваними профілями, які ми розглянемо далі.

Одночасно з цим буде доречним розповісти про перенаправлення папок як однієї з можливостей технології IntelliMirror для забезпечення відмовостійкості і централізованого зберігання призначених для користувача даних.

Переміщувані профілі зберігаються на сервері. Шлях до них вказується в налаштуваннях користувача домену (див. Рис. 4).

При бажанні можна вказати переміщувані профілі для декількох користувачів одночасно, виділивши декількох користувачів, і у властивостях у вкладці «Профіль» вказати% USERNAME% замість папки з ім'ям користувача (див. Рис. 5).

Процес першого входу в систему користувача, що володіє переміщуються профілем, схоже описаного вище для локального, за деяким винятком.

По-перше, раз шлях до профілю в об'єкті користувача вказано, система перевіряє наявність кешованої локальної копії профілю на машині, далі все, як було описано.

По-друге, по завершенні роботи всі зміни копіюються на сервер, і якщо груповими політиками не вказано видаляти локальну копію, зберігаються на даній машині. Якщо ж користувач уже мав локальну копію профілю, то серверна і локальна копії профілю порівнюються, і відбувається їх об'єднання.

Технологія IntelliMirror в системах Windows останніх версій дозволяє здійснювати перенаправлення окремих папок користувачів, таких як «Мої документи», «Мої малюнки» і ін., на мережевий ресурс.

Таким чином, для користувача все проведені зміни будуть абсолютно прозорі. Зберігаючи документи в папку «Мої документи», яка свідомо буде перенаправлено на мережевий ресурс, він навіть і не буде підозрювати про те, що все зберігається на сервер.

Налаштувати перенаправлення можна як вручну для кожного користувача, так і за допомогою групових політик.

У першому випадку потрібно клікнути на іконку «Мої документи» на робочому столі або в меню «Пуск» правою кнопкою миші і вибрати властивості. Далі все гранично просто.

По-другому випадку потрібно відкрити групову політику OU або домену, для яких ми хочемо застосувати перенаправлення, і розкрити ієрархію «Конфігурація користувача -\u003e конфігурація Windows»(Див. Рис. 6). Далі перенаправлення налаштовується або для всіх користувачів, або для певних груп безпеки OU або домену, до яких ця групова політика буде застосовуватися.

Використовуючи перенаправлення папок до роботи з переміщуваними профілями користувачів, можна домогтися, наприклад, зменшення часу завантаження профілю. Це за умови того, що переміщуваний профіль завантажується завжди з сервера без використання локальної копії.

Розповідь про технології перенаправлення папок був би неповним без згадки про автономних файлах. Вони дозволяють користувачам працювати з документами навіть при відсутності підключення до мережі. Синхронізація з серверними копіями документів відбувається при наступному підключенні комп'ютера до мережі. Така схема організації буде корисна, наприклад, користувачам ноутбуків, що працюють як в рамках локальної мережі, так і вдома.

До недоліків переміщуваних профілів можна віднести наступне:

• може виникнути ситуація, коли, наприклад, на робочому столі користувача будуть існувати ярлики деяких програм, а на іншій машині, де захоче попрацювати володар переміщуваного профілю таких програм не встановлено, відповідно частина ярликів не працюватиме;
• багато користувачів мають звичку зберігати документи, а також фотографії і навіть відео на робочому столі, в результаті при завантаженні переміщуваного профілю з сервера кожного разу створюється додатковий трафік в мережі, а сам профіль завантажується дуже довго; для вирішення проблеми використовуйте дозволу NTFS, щоб обмежити збереження «сміття» на робочому столі;
• кожен раз, коли користувач входить в систему, для нього створюється локальний профіль (точніше, профіль з сервера копіюється локально), і якщо змінює робочі машини, то на кожній з них залишається такою «сміття»; цього можна уникнути, налаштувавши певним чином групові політики ( «Конфігурація комп'ютера -\u003e Адміністративні шаблони -\u003e System -\u003e User Profiles», політика «Delete cached copies of roaming profiles»).

Введення вже існуючого користувача в домен

Найчастіше при впровадженні служби каталогів в уже існуючій мережі на базі робочих груп виникає питання про введення користувача в домен без втрати налаштувань його робочого середовища. Цього можна домогтися, використовуючи переміщувані профілі.

Створіть на загальному мережевому ресурсі (наприклад, Profiles) на сервері папку з ім'ям користувача і задайте для неї дозволу на запис для групи Everyone. Нехай вона називається HQUser, а повний шлях до неї виглядає так: \\\\ Server \\ Profiles \\ HQUser.

Створіть користувача домену, який буде відповідати користувачеві вашої локальної мережі, і як шлях до профілю вкажіть \\\\ Server \\ Profiles \\ HQUser.

На комп'ютері, що містить локальний профіль нашого користувача, потрібно увійти під обліковим записом адміністратора і за допомогою вкладки User Profiles аплету System скопіювати його в папку \\\\ Server \\ Profiles \\ HQUser.

Неважко зрозуміти, що при наступному вході в систему під нової доменної обліковим записом наш користувач завантажить свій робочий профіль з сервера, і адміністратору залишиться лише вирішити, залишити цей профіль переміщуються або зробити локальним.

квотування

Дуже часто користувачі завантажують непотрібною інформацією мережеві диски. Щоб уникнути постійних прохань почистити свої особисті папки від непотрібного сміття (чомусь він завжди виявляється необхідним), можна використовувати механізм квотування. Починаючи з Windows 2000 це можна робити стандартними засобами на томах NTFS.

Для включення механізму квотування і його настройки потрібно зайти в властивості локального томи і відкрити вкладку «Квота» (Quota) (див. Рис. 7).

Також можна подивитися дані про займаному просторі на диску і налаштувати квоти окремо для кожного користувача (див. Рис. 8). Система підраховує займане місце на диску, грунтуючись на даних про власника об'єктів, підсумовуючи обсяг належних йому файлів і папок.

Групи користувачів в AD

Управління користувачами в рамках домену - завдання нескладне. Але коли потрібно налаштувати доступ до певних ресурсів для кількох десятків (а то й сотень) користувачів, на роздачу прав доступу може піти багато часу.

А якщо виникає необхідність тонко розмежувати права учасникам кількох доменів в рамках дерева або лісу, перед адміністратором постає завдання на кшталт завданням з теорії множин. На допомогу тут приходить використання груп.

Основна характеристика груп, що зустрічаються в рамках домену, була дана в минулій статті, присвяченій архітектурі служби каталогів.

Нагадаю, що локальні групи домену можуть включати користувачів свого домену та інших доменів в лісі, але область її дії обмежується доменом, якому вона належить.

Глобальні групи можуть включати в себе тільки тих, хто свого домену, але є можливість їх використання для надання доступу до ресурсів як в рамках свого, так і іншого домену в лісі.

Універсальні групи, відповідаючи своїй назві, можуть містити користувачів з будь-якого домену і використовуватися також для надання доступу в рамках усього лісу. Не важливо, в рамках якого домену універсальна група буде створена, єдине, варто враховувати, що при її переміщенні права доступу будуть губитися і їх необхідно буде перепризначити заново.

Щоб зрозуміти описане вище і основні принципи вкладеності груп, розглянемо приклад. Нехай у нас є ліс, який містить два домена HQ.local і SD.local (який з них кореневої в даному випадку, не важливо). Кожен з доменів містить ресурси, до яких потрібно надати доступ, і користувачів (див. Рис. 9).

З рис. 9 видно, що до ресурсів Docs і Distrib повинні мати доступ всі користувачі в лісі (зелені та червоні лінії), тому ми можемо створити універсальну групу, яка містить користувачів з обох доменів, і використовувати її при вказівці дозволів на доступ до обох ресурсів. Або ми можемо створити дві глобальні групи в кожному домені, які будуть містити користувачів тільки свого домену, і включити їх в універсальну групу. Будь-яку з цих глобальних груп також можна використовувати для призначення прав.

Доступ до каталогу Base повинні мати користувачі тільки з домена HQ.local (сині лінії), тому ми включимо їх в локальну доменну групу, і цій групі надамо доступ.

Каталогом Distrib матимуть право користуватися як члени домену HQ.local, так і члени домену SD.local (помаранчеві лінії на рис. 9). Тому користувачів Manager і Salary ми можемо додати в глобальну групу домену HQ.local, а потім цю групу додати в локальну групу домену SD.local разом з користувачем IT. Потім цієї локальної групи і надати доступ до ресурсу Distrib.

Зараз ми розглянемо вкладеність цих груп докладніше і розглянемо ще один тип груп - вбудовані локальні доменні групи.

У таблиці показано, які групи в які можуть бути вкладені. Тут по горизонталі розташовані групи, в які вкладаються групи, розташовані по вертикалі. Плюс означає, що один вид груп може бути вкладений в інший, мінус - немає.

На якомусь ресурсі в Інтернеті, присвяченому сертифікаційних іспитів Microsoft, я побачив згадка про таку формулі - AGUDLP, що означає: облікові записи (Account) поміщаються в глобальні групи (Global), які поміщаються в універсальні (Universal), які поміщаються в локальні доменні групи (Domain Local), до яких і застосовуються дозволу (Permissions). Ця формула в повній мірі визначає можливість вкладеності. Слід додати, що всі ці види можуть бути вкладені в локальні групи окремо взятої машини (локальні доменні виключно в рамках свого домену).

Вкладеність доменних груп

вкладеність	локальні групи	Глобальні групи	універсальні групи
Обліковий запис
локальні групи	+ (За винятком вбудованих локальних груп і тільки в межах власного домену)
Глобальні групи		+ (Тільки в межах власного домену)
універсальні групи

Вбудовані локальні доменні групи розташовані в контейнері Builtin і є фактично локальними групами машини, але тільки для контролерів домену. І на відміну від локальних доменних груп з контейнера Users не можуть бути переміщені в інші організаційні одиниці.

Правильне розуміння процесу адміністрування облікових записів дозволить вам створити чітко налагоджену робоче середовище підприємства, забезпечивши гнучкість управління, а головне - відмовостійкість і безпеку домену. У наступній статті ми поговоримо про групових політиках як інструменті для створення призначеного для користувача оточення.

прикладна програма

Нюанси доменної аутентифікації

При використанні локальних профілів може виникнути ситуація, коли користувач домену намагається увійти на робочу станцію, Яка має його локальний профіль, але з якихось причин не має доступу до контролера. На подив, користувач успішно пройде аутентифікацію і буде допущений до роботи.

Така ситуація виникає через кешування мандата користувача і може бути виправлена \u200b\u200bвнесенням змін до реєстру. Для цього в папці HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ Current Version \\ Winlogon створити (якщо такої немає) запис з ім'ям CachedLogonCount, типом даних REG_DWORD і встановити її значення в нуль. Аналогічного результату можна досягти за допомогою групових політик.

1. Ємельянов А. Принципи побудови доменів Active Directory, // « Системний адміністратор», №2, 2007 - С. 38-43.

Після установки Active Directory можна приступити до створення об'єктів і управління ними.

6.5.1. Створення підрозділів і об'єктів в них

6.5.1.1. Створення організаційних підрозділів (ВП)

ОП можна створити в рамках домену, об'єкта Domain Controller або іншого ОП (рис. 6.3). У створене ОП можна додавати об'єкти.

Для створення ВП необхідно мати повноваження по додаванню підрозділів в батьківське ОП, домен або вузол Domain Controller, де буде створюватися ОП. За замовчуванням такими повноваженнями наділена група Administrators (адміні-

стратор).

Не можна створювати ОП в більшості стандартних контей-

рів, таких як Computers або Users.

Мал. 6.3. ОП Кафедра ОТЗІ в вузлі Domain Controller

ОП створюються для спрощення адміністрування мережі. Структура ОП повинна ґрунтуватися на конкретних завданнях ад

міністрірованія. Ви можете легко змінювати структуру ОП або переміщати об'єкти між ОП.

ОП створюються в наступних випадках:

щоб надати адміністративні повноваження іншим користувачам або адміністраторам;

для групування об'єктів, над якими виконуються подібні адміністративні операції; це полегшує пошук схожих мережевих ресурсів і їх обслуговування - так, можна об'єднати в одному ОП всі об'єктиUser для тимчасових службовців;

для обмеження видимості мережевих ресурсів в сховище Active Directory користувачі побачать тільки ті об'єкти, до яких мають доступ; дозволу для ВП можна легко змінити, обмеживши доступ до конфіденційної інформації.

6.5.1.2. Додавання об'єктів в ОП

Для додавання об'єктів в ОП Ви повинні володіти в ньому відповідними повноваженнями. За замовчуванням такі права надані групі Administrators. Різновиди створюваних об'єктів залежать від правил схеми, що використовується майстра або оснащення. Деякі атрибути об'єкта можна визначити тільки після його створення.

6.5.2. Управління об'єктами Active Directory

Управління об'єктами Active Directory включає пошук об'єктів, їх зміна, знищення або переміщення. У двох останніх випадках треба мати відповідні дозволи для об'єкта або для ОП, куди Ви переміщаєте об'єкт. За замовчуванням даними повноваженнями володіють всі члени групи Administrators.

6.5.2.1. Пошук об'єктів

Глобальний каталог (ГК) містить часткову репліку всього каталогу і зберігає інформацію про всі об'єкти в дереві доменів або ліс. Тому користувач може знайти об'єкт незалежно від його розташування в домені або лісі. Зміст ГК автоматично генерується за відомостями з доменів, що становлять каталог.

Для пошуку об'єктів відкрийте оснащення, ярлик якої знаходиться в групі программAdministrative Tools. У дереві консолі клацніть правою

кнопкою миші домен або ВП і виберіть в контекстному меню команду Find (Знайти). Відкриється діалогове окноFind

(Пошук) (рис. 6.4).

Мал. 6.4. Діалогове вікно Find (Пошук)

Якщо Ви розкриєте контекстне меню об'єкта Shared folder (Загальна папка)і виберете командуFind

(Знайти), буде запущена функція пошуку Windows Explorer, і Ви зможете шукати в загальнодоступному місці файли і папки.

Діалогове вікно Find включає параметри пошуку в ГК, що дозволяють знаходити облікові записи, групи і принтери.

6.5.2.2. Зміна значень атрибутів

і видалення об'єктів

Щоб змінити значення атрибута, відкрийте оснащення Ac-

tive Directory Users And Computers і виберіть екземпляр об'єктивним

та. У меню Action (Дія) виберіть командуProperties (Властивості). У діалоговому вікні властивостей об'єк

єкта змініть потрібні атрибути об'єкта. Потім внесіть поправки в опис об'єкта, наприклад, змінюйте об'єкт User, щоб змінити ім'я, місце розташування та електронну адресу користувача. Якщо об'єкти більше не потрібні, видаліть їх в цілях безпеки: відкривши оснасткуActive Directory Users And

Computers, виділіть екземпляр об'єкту, що видаляється, а потім в менюAction (Дія) виберіть командуDelete

(Вилучити).

6.5.2.3. переміщення об'єктів

У сховище Active Directory можна переміщати об'єкти, наприклад між ОП, щоб відобразити зміни в структурі підприємства при перекладі співробітника з одного відділу в дру-

гой. Для цього, відкривши оснащення Active Directory Users And Com-

puters, виділіть переміщуваний об'єкт, в менюAction (Дія) виберіть командуMove (Перемістити) і

вкажіть нове місце розташування об'єкта.

6.5.3. Управління доступом до об'єктів Active Directory

Для контролю доступу до об'єктів Active Directory застосовується об'єктно-орієнтована модель захисту, подібна моделі захисту NTFS.

Кожен об'єкт Active Directory має дескриптор безпеки, який визначає, хто має право доступу до об'єкта і тип цього доступу. Windows Server використовує дескриптори безпеки для управління доступом до об'єктів.

Для спрощення адміністрування можна згрупувати об'єкти з однаковими вимогами безпеки в ОП і встановити дозволи доступу для всього ОП і всіх об'єктів в ньому.

6.5.3.1. Управління дозволами Active Directory

Дозволи Active Directory забезпечують захист ресурсів, дозволяючи управляти доступом до екземплярів об'єктів або атрибутів об'єктів і визначати вид наданого доступу.

Захист Active Directory

Адміністратор або власник об'єкта повинен призначити об'єкту дозволу доступу ще до того, як користувачі зможуть отримувати доступ до цього об'єкта. Windows Server зберігає список управління доступом (access control list, ACL) для каждо-

го об'єкта Active Directory.

ACL об'єкта включає перелік користувачів, яким дозволений доступ до об'єкта, а також набір допустимих над об'єктом дій.

Можна задіяти дозволу для призначення адміністративних повноважень конкретного користувача або групи щодо ОП, ієрархії ОП або окремого об'єкта без призначення адміністративних дозволів на управління дру-

шими об'єктами Active Directory.

Дозволи доступу до об'єкту

Залежать від типу об'єкта - наприклад, дозвіл Reset Password допустимо для об'ектовUser, але не для об'єктів

Computer.

Користувач може бути членом декількох груп з різними дозволами для кожної з них, що забезпечують різні рівні доступу до об'єктів. При призначенні дозволу на доступ до об'єкта члену групи, наділеної іншими дозволами, ефективні права користувача будуть складатися з його дозволів і дозволів групи.

Можна надавати або анулювати дозволи. Анульовані дозволи для користувачів і груп приоритетнее будь-яких виданих дозволів.

Якщо користувачеві заборонено звертатися до об'єкта, то він не отримає доступ до нього навіть як член повноважною групи.

Призначення дозволів Active Directory

Налаштувати дозволу об'єктів і їх атрибутів дозволяє оснащення Active Directory Users And Computers. призначити раз-

рішення також можна на вкладці Security (Безпека)діалогового вікна властивостей об'єкта.

Для виконання більшості завдань адміністрування досить стандартних дозволів.