Управління Active Directory за допомогою PowerShell. Установка Active Directory. Створення підрозділів і об'єктів в них

У першій частині циклу статей я зробив короткий новий можливостей Active Directory. Давайте подивимося на все це уважніше ....

конфігурація ролі AD DS

Для установки доменних служб Active Directory тепер використовується Диспетчер серверів і Windows PowerShell, Як і для установки всіх інших ролей і компонентів сервера і в Windows Server 2012.

Інтеграція Диспетчера серверів і AD DS

Диспетчер серверів виступає в якості єдиного концентратора завдань з управління серверами. Його панель періодично оновлює встановлені ролі і групи віддалених серверів. Server Manager забезпечує централізоване управління локальними і віддаленими серверами без необхідності доступу до локальної консолі. Доменні служби Active Directory є однією з цих ролей; запустивши Диспетчера Сервера на контролері домену або засоби віддаленого адміністрування сервера на клієнті Windows 8, ви побачите всі важливі події, що відбулися за останній час на контролерах домену в лісі. Ці уявлення включають в себе:

доступність сервера

Монітор продуктивності з попередженнями про високому завантаженні процесора і пам'яті

стан служб Windows, Що відносяться до AD DS

Останні попередження, пов'язані з Directory Services і записи помилок в журналі подій

Кращі практики аналізу контролерів домену та набір рекомендацій Microsoft

Кошик в Центрі адміністрування Active Directory

У Windows Server 2008 R2 вперше з'явилася корзина Active Directory, яка дозволяла відновлювати видалені об'єкти Active Directory без відновлення з резервної копії, перезапуску доменних служб Active Directory або перезавантаження контролерів домену. Windows Server 2012 приніс із собою новий графічний інтерфейс для Кошики в Центрі адміністрування Active Directory .Це дозволяє адміністраторам включити кошик і потім знайти або відновити вилучені об'єкти в доменному контексті в лісі, і все це без безпосереднього використання командлетів Windows PowerShell.Центр адміністрування Active Directory і Кошик Active Directory як і раніше використовують движок Windows PowerShell, тому попередні сценарії і виконання окремих командлетів як і раніше можуть бути з успіхом застосовані.

Детальні настройки політик блокування облікових записів і паролів в Центрі адміністрування

У Windows Server 2008 з'явилися детальні політики паролів, які дозволили адміністраторам налаштувати кілька паролів і політик блокування облікового запису в домені. Це рішення дозволяло більш гнучко управляти доменної політикою для забезпечення більш-менш суворі правила паролів, на основі користувачів і груп. У нього не було окремого інтерфейсу управління і адміністраторам доводилося налаштовувати його за допомогою Ldp.exe або Adsiedit.msc. Windows Server 2008 R2 представив модуль ActiveDirectory для Windows PowerShell, який дозволив адміністраторам використовувати інтерфейс командного рядка для FGPP. Windows Server 2012 приносить графічний інтерфейс для детального управління політикою паролей.Центр адміністрування Active Directory тепер є відправною точкою спрощеного управління FGPP для всіх адміністраторів.

Перегляд історії Windows PowerShell

Windows Server 2008 R2 представив Центр адміністрування Active Directory, який замінив відому адміністраторам ще з часів Windows 2000 остнасткі Active Directory користувачі і комп'ютери. .Центр адміністрування Active Directory просто використовує під капотом движок модуля ActiveDirectory для PowerShell, надаючи графічний інтерфейс для виконання команд адміністратора.

Оскільки сам модуль ActiveDirectory містить більше ста команд, в них можна злегка заплутатися. Зараз PowerShell тісно інтегрований в стратегію адміністрування ОС Windows, і Центр адміністрування Active Directory тепер включає в себе перегляд історії виконання команд, який дозволяє вам бачити команду, яка була виконана в графічному інтерфейсі. Ви також можете здійснювати тут пошук і копіювання, очищати історію і додавати замітки в простому і зручному інтерфейсі. Це дозволить адміністратору зручно використовувати використовувати графічний інтерфейс для створення і редагування об'єктів, а потім переглянути їх створення в історії перегляду, щоб дізнатися більше про можливості сценаріїв PowerShell на прикладах.

Реплікація засобами PowerShell

Ура! Тепер старий добрий repadmin може відправитися на покой- в новому модулі PowerShell для Active Directory тепер є набагато більш багатий функціонал- він дозволяє конфігурувати нові або існуючі сайти, підмережі, з'єднання, вартості сайтів і сервери-плацдарми.Также можна управляти метаданими і статусом реплікації, чергою вектором оновлення (UTDVEC).

Використання командлетів реплікації спільно з іншими Командлети модуля AD PowerShell дозволяють адмініструвати весь ліс використовуючи тільки одну консоль.

Все це дає додатковий поштовх адміністраторам, які бажають скористатися всіма новими можливостями Windows Server без використання графічного інтерфейсу, що скоротить поверхню атак і час на обслуговування сервера. Це набуває особливого значення, якщо сервери повинні бути розгорнуті в високо захищених мережах, таких, як Secret Internet Protocol Router (SIPR) і корпоративних мережах периметра (DMZ).

Дозволю собі тут помітити, що новий майстер установки Windows Server 2012 відразу ж настійно рекомендує встановити сервер в режимі Core, як найбільш ефективну установку, на відміну від попередньої версії установника в Windows Server 2008 R2. (ця опція відразу обрана за замовчуванням)

Windows Server Technical Reference

Покращення в області видачі та управління RID

У Windows 2000 з'явився RID Master, який видавав пул відносних ідентифікаторів для контролерів домену, щоб останні могли створити ідентифікатори безпеки (SID) для принципалів безпеки, таких як користувачі, групи і комп'ютери. За замовчуванням, глобальний простір RID обмежена 2 30 (або 1073741823) загальної кількості ідентифікаторів, створених в домені. ідентифікатори SID не можуть бути повторно створеними або перевипущену. Протягом довгого часу в великих доменах може почати вичерпуватися пул RID або виникли інциденти можуть призвести до непотрібних виснаженням пулу RID. Windows Server 2012 переглядає ряд моментів, пов'язаних з видачею RID і питаннями управління вперше з 1999 року. До них відносяться:

Періодичне використання пулу RID тепер записується як попередження в журналі подій.
Створити нагадування про недеіствітельном пулі RID
Максимальне обмеження політики RID на розмір блоку RID тепер застосовується примусово.
Штучне завищення RID застосовується примусово і заносить оповіщення в журнал подій, якщо глобальний простір RID виснажується, дозволяючи тим самим адміністратору вжити заходів до того, як воно буде вичерпано.
Глобальне пространствоRID тепер збільшено на один біт;), подвоюючи розмір адрес до 2 31 (2,147,483,648 SIDs) How Security Identifiers Work

помацати Ріди руками допоможе ... ..DCDIAG:

Dcdiag.exe / TEST: RidManager / v | find / i "Available RID Pool for the Domain"

або PowerShell

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

#######################
# Get Domain RID Info #
#######################
## Based on code From https://blogs.technet.com/b/askds/archive/2011/09/12/managing-rid-pool-depletion.aspx
Import-Module ActiveDirectory
Write-Verbose "Get RID Information from AD including the number of RIDs issued and remaining` r "
$ RIDManagerProperty \u003d Get-ADObject "cn \u003d rid manager $, cn \u003d system, $ ADDomainDistinguishedName" -property RIDAvailablePool -server ((Get-ADDomain $ DomainDNS) .RidMaster)
$ RIDInfo \u003d $ RIDManagerProperty.RIDAvailablePool
$ TotalSIDS \u003d $ RIDInfo / (:: Pow (2,32))
$ Temp64val \u003d $ TotalSIDS * (:: Pow (2,32))
$ CurrentRIDPoolCount \u003d $ RIDInfo - $ Temp64val
$ RIDsRemaining \u003d $ TotalSIDS - $ CurrentRIDPoolCount

$ RIDsIssuedPcntOfTotal \u003d ($ CurrentRIDPoolCount / $ TotalSIDS)
$ RIDsIssuedPercentofTotal \u003d "(0: P2)" -f $ RIDsIssuedPcntOfTotal
$ RIDsRemainingPcntOfTotal \u003d ($ RIDsRemaining / $ TotalSIDS)
$ RIDsRemainingPercentofTotal \u003d "(0: P2)" -f $ RIDsRemainingPcntOfTotal

Write-Output "RIDs Issued: $ CurrentRIDPoolCount ($ RIDsIssuedPercentofTotal of total)` r "
Write-Output "RIDs Remaining: $ RIDsRemaining ($ RIDsRemainingPercentofTotal of total)` r "

Далі буде ... 🙂

У листопадовому номері КомпьютерПресс ми ознайомили вас з ключовими можливостями Windows PowerShell - нового середовища командного рядка і мови сценаріїв від компанії Microsoft. Сьогодні ми розглянемо застосування цього середовища для адміністрування корпоративної директорії Active Directory (AD).

Коротко про PowerShell

Windows PowerShell - нова командний рядок і мова сценаріїв від компанії Microsoft. PowerShell є компонентом Windows Server 2008 (треба тільки вибрати його в Server Manager) і доступна для завантаження з сторінки www.microsoft.com/powershell для Windows XP, Windows Server 2003 і Windows Vista.

Якщо ви не знайомі з Windows PowerShell, то рекомендуємо вам спочатку прочитати статтю «Windows PowerShell. Коротко про головне »в КомпьютерПресс № 11'2007. У даній публікації ми обмежимося лише коротким повторенням основ і відразу перейдемо до головної теми статті.

Отже, команди PowerShell називаються Командлети (cmdlet) і складаються з дієслова (наприклад, get, set, new, remove, move, connect) і іменника в однині, що описує об'єкт дії. Між ними ставиться дефіс. Виходить щось на зразок: get-process, stop-service і т.п.

Команди, як правило, пов'язуються конвеєром, що позначається вертикальною рискою (|). Цей знак означає, що вся колекція об'єктів з попередньої команди передається на вхід наступного.

Така об'єктна орієнтованість дуже зручна, оскільки дозволяє легко оперувати об'єктами і пов'язувати команди разом. У цій статті ми розповімо, як подібний підхід полегшує управління корпоративною директорією на базі Active Directory.

Способи роботи з Active Directory

Директорія Active Directory є основою корпоративних мереж на базі Windows Server 2000, 2003 і 2008. Саме там зберігаються всі облікові записи користувачів, інформація про групи, комп'ютерах мережі, ящиках електронної пошти та багато іншого.

Всім цим багатством треба управляти, для чого призначений відповідний інструментарій, що входить до складу Windows Server, але саме PowerShell дозволяє легко автоматизувати масові дії, спрямовані на велика кількість об'єктів.

Існує три основних способи роботи з Active Directory в Windows PowerShell:

за допомогою інтерфейсу Active Directory Service Interfaces (ADSI) - цей спосіб є найбільш складним, але працює в будь-яку установку PowerShell і не вимагає додаткових модулів. Він також найбільш близький до способу управління, який використовувався в мові сценаріїв VBScript;
за допомогою провайдера Active Directory, що входить в розширення PowerShell, - цей спосіб дозволяє підключити директорію у вигляді диска на вашому комп'ютері і переміщатися по ній за допомогою відповідних команд: dir, cd і т.д. даний спосіб вимагає установки додаткового модуля з сайту codeplex;
за допомогою командлетів управління Active Directory - це найбільш зручний спосіб маніпулювання об'єктами директорії, але він теж вимагає додаткової інсталяції відповідних модулів.

ADSI

Active Directory Service Interfaces (ADSI) добре знайомий всім, хто намагався писати сценарії на мові VBScript. У PowerShell цей інтерфейс реалізований за допомогою так званого адаптера. Вказавши в квадратних дужках назву адаптера (ADSI) і шлях до об'єкта в директорії на мові LDAP-запиту (Lightweight Directory Access Protocol - протокол роботи з директоріями, який підтримує і AD), ми отримуємо доступ до об'єкта з директорії і можемо далі викликати його методи .

Наприклад, під'єднані до одного з контейнерів директорії і створимо в ньому нову призначену для користувача обліковий запис.

$ ObjOU \u003d "LDAP: // mydc: 389 / ou \u003d CTO, dc \u003d Employees, dc \u003d testdomain, dc \u003d local"

Отже, тепер у нас змінна $ objOU містить інформацію про контейнер (імена змінних в PowerShell починаються зі значка долара).

викличемо метод Create і створимо в контейнері нового користувача:

$ ObjUser \u003d $ objOU.Create ( "user", "cn \u003d Dmitry Sotnikov")

Тепер ми можемо встановлювати різні атрибути:

$ ObjUser.Put ( «sAMAccountName", "dsotnikov")

І нарешті, вкажемо директорії, що ці зміни треба застосувати:

$ ObjUser.SetInfo ()

Перевагами використання адаптера ADSI є:

його наявність в будь-який постачанні PowerShell. Якщо у вас встановлений PowerShell і є директорія, з якої вам треба працювати, - ви маєте всі, що вам треба;
застосування підходу, близького до VBScript. Якщо у вас багатий досвід роботи з Директорією на мові сценаріїв VBScript або в пріложеніях.NET, ви зможете впевнено себе почувати, використовуючи цей підхід.

На жаль, у методу є і недоліки:

складність - це найскладніший спосіб роботи з Директорією. Писати шлях до об'єкта у вигляді запиту LDAP нетривіально. Для будь-якої роботи з атрибутами виникне потреба у вказівках їх внутрішніх імен, а значить, треба пам'ятати, що атрибут, що позначає місто користувача, називається не «City», а «l» і т.д .;
громіздкість - як видно з прикладу, найпростіша операція створення одного облікового запису займає як мінімум чотири рядки, включаючи службові операції приєднання до контейнера і застосування змін. Таким чином, навіть відносно прості операції стають схожі на складні сценарії.

провайдер AD

PowerShell дозволяє представляти різні системи у вигляді додаткових дисків комп'ютера за допомогою так званих провайдерів. Наприклад, до складу поставки PowerShell входить провайдер реєстру і ми можемо переміщатися по реєстру за допомогою знайомих і улюблених усіма нами команд cd і dir (для любителів UNIX команда ls теж підтримується).

Провайдера Active Directory в складі PowerShell немає, але його можна встановити, зайшовши на сайт проекту розширень PowerShell - PowerShell Community Extensions: http://www.codeplex.com/PowerShellCX.

Це проект з відкритим кодом, Який додає велику кількість команд в систему PowerShell, а крім того, встановлює провайдера AD.

Використання провайдера Active Directory

Після установки розширень, набравши Get-PSDrive, ми бачимо, що до колишніх дискам додався диск поточної активної директорії.

Тепер ми можемо зайти в цю директорію, набравши cd і вказавши ім'я домену, а в будь-якому контейнері використовувати команду dir, щоб побачити його вміст.

Крім того, можна викликати і інші звичні команди управління файлами (наприклад, del).

До безперечних переваг використання провайдера можна віднести:

природність представлення структури директорії - директорія AD за своєю природою ієрархічна і схожа на файлову систему;

зручність знаходження об'єктів - застосовувати cd і dir куди зручніше, ніж складати запит на мові LDAP.

З недоліків кидаються в очі:

складність внесення змін до об'єкти - провайдер допомагає легко дістатися до об'єкта, але щоб щось поміняти, нам знову доводиться використовувати всі ті ж діректорной об'єкти, що і в методі ADSI, а для цього треба оперувати на низькому рівні службових методів і атрибутів AD;
необхідність додаткової установки - провайдер не входить до складу PowerShell, і для його застосування необхідно завантажити та встановити розширення PowerShell;
третьестороннее походження - розширення PowerShell не є продуктом компанії Microsoft. Вони створені ентузіастами проекту. Ви вільні їх використовувати, але за технічною підтримкою доведеться звертатися не в Microsoft, а на сайт проекту.

командлети AD

Крім описаного вище провайдера, для роботи з AD існує і набір командлетів (часто званих також AD cmdlets або QAD cmdlets), доступний з сайту http://www.quest.com/activeroles_server/arms.aspx.

Командлети складаються зі стандартних дієслів операцій (get-, set-, rename-, remove-, new-, move-, connect-) і іменників об'єктів з префіксом QAD (-QADUser, -QADGroup, -QADComputer, -QADObject).

Наприклад, щоб створити нову парну запис користувача, знадобиться виконати таку команду:

Переваги даного підходу такі:

простота - використання командлетів приховує від вас складність директорії, її схеми і внутрішніх атрибутів. Ви працюєте з об'єктами директорії на рівні зрозумілих назв об'єктів (user, group, computer), їх властивостей (name, password, city, department) і дій над ними (get, set, remove, move, new);
стислість і виразність - як ми бачили, більшу частину дій за допомогою командлетів можна виразити у вигляді простих і природних однорядкових операцій.

необхідність додаткової установки - командлети, як і провайдер, що не входять до складу PowerShell, і для їх використання необхідно завантажити і встановити відповідну бібліотеку;
третьестороннее походження - командлети для роботи з AD не є продуктом компанії Microsoft. Вони створені партнером Microsoft - компанією Quest Software. Ви вільні їх застосовувати, але за технічною підтримкою доведеться звертатися не в Microsoft, а на форуми по роботі з Active Directory на сайті PowerGUI.org.

На наш погляд, дані недоліки з лишком компенсуються простотою і природністю у використанні, так що практичні приклади будуть приведені із застосуванням саме цього підходу.

Управління Active Directory

Давайте подивимося, як PowerShell дозволяє виконувати основні операції по роботі з Директорією AD:

отримання інформації;
зміна властивостей;
робота з групами;
створення нових об'єктів;
зміна структури директорії

Отримання інформації

Отримання інформації здійснюється в PowerShell за допомогою командлетів з дієсловом Get.

Наприклад, щоб отримати список всіх користувачів, наберемо:

Для груп:

Для записів комп'ютерів:

Якщо вам потрібні не всі записи, а якісь конкретні, ви можете вибрати саме їх за допомогою параметрів команд.

Отримання списку користувачів

Всі групи з контейнера Users:

Get-QADGroup -SearchRoot scorpio.local / users

Всі користувачі з відділу продажів московського офісу, чиї імена починаються на букву A:

Get-QADUser -City Moscow -Department Sales -Name a *

При цьому ви можете сказати PowerShell'y, в якому вигляді ви хочете бачити отримувану інформацію.

Таблиця з іменами, містами і підрозділами співробітників:

Get-QADUser | Format-Table Name, City, Department

Те ж саме з сортуванням по містах:

Get-QADUser | Sort City | Format-Table DisplayName, City, Department

Сортування значень і вибір полів для виведення

Для облікового уявлення тієї ж інформації просто використовуємо команду Format-List:

Get-QADUser | Format-List Name, City, Department

Експортувати інформацію в файл CSV (comma-separated values \u200b\u200b- значення через кому):

Get-QADUser | Select Name, City, Department | Out-CSV users.csv

Створити звіт в форматі HTML:

Get-QADUser | Select Name, City, Department | ConvertTo-HTML | Out-File users.html

Таким чином, одним рядком простий команди PowerShell ви можете створювати складні звіти в зручному для вас форматі.

PowerShell дозволяє змінювати атрибути безлічі
записів однією командою

зміна властивостей

Після того як ми освоїлися з отриманням інформації з директорії, прийшла пора щось в ній змінити.

Властивостями об'єктів можна маніпулювати за допомогою команд Set- *.

Наприклад, поміняємо мені телефон:

Set-QADUser 'Dmitry Sotnikov' -Phone '111-111-111'

Але, зрозуміло, куди більш цікаві масові зміни. Для цього ми можемо застосовувати конвеєр PowerShell, тобто отримувати список потрібних нам об'єктів за допомогою команд Get- і відправляти їх в команду Set- для внесення змін.

Наприклад, наш пермський офіс переїхав до нового приміщення. Візьмемо всіх користувачів Пермі і дамо їм новий номер телефону:

Get-QADUser -City Perm | Set-QADUser -PhoneNumber '+ 7-342-1111111'

Для більш складних маніпуляцій можна використовувати командлет ForEach-Object. Наприклад, кожному користувачеві дамо опис, що складається з його відділу і міста:

Get-QADUser | ForEach-Object (Set-QADUser $ _ -Description (S_.City + «« + $ _. Department))

Змінна $ _ в даному прикладі означає поточний об'єкт колекції.

PowerShell надає можливості зручної роботи
з групами користувачів

Робота з групами

Робота з групами і членством в них - ще одна масова операція, яку часто хочеться автоматизувати. PowerShell надає таку можливість.

Отримання членів групи проводиться за допомогою командлета Get-QADGroupMember:

Get-QADGroubMember Managers

Додати об'єкт до групи теж нескладно:

Add-QADGroupMember Scorpio \\ Managers -Member dsotnikov

Аналогічно видалення з групи здійснюється за допомогою командлети Remove-QADGroupMember.

Але, зрозуміло, найбільш корисними є масові маніпуляції. Додамо всіх менеджерів в відповідну групу:

Get-QADUser -Title Manager | Add-QADGroupMember Scorpio \\ Managers

Скопіюємо членство в групі:

Get-QADGroupMember Scorpio \\ Managers | Add-QADGroupMember Scorpio \\ Managers_Copy

Використовуємо фільтр, щоб скопіювати не всіх членів групи, а тільки тих, хто відповідає певним критерієм (Наприклад, знаходиться в потрібному регіоні):

Get-QADGroupMember Scorpio \\ Managers | where ($ _. City -eq 'Ekaterinburg') | Add-QADGroupMember Scorpio \\ Ekaterinburg_Managers

Зверніть увагу, як ми відфільтрували користувачів за допомогою команди where і логічного умови ( логічний оператор -eq - це оператор рівності в PowerShell, від англ.equals).

створення об'єктів

Створення об'єктів, як ми вже бачили, здійснюється командами New:

New-QADUser -ParentContainer scorpio.local / Employees -Name 'Dmitry Sotnikov'

New-QADGroup -ParentContainer scorpio.local / Employees -Name 'Managers' -Type Security -Scope Global

Ви можете встановити і будь-які інші атрибути в процесі створення запису:

New-QADUser -ParentContainer scorpio.local / Employees -Name 'Dmitry Sotnikov' -samAccountName dsotnikov -City 'Saint-Petersburg' -Password ' [Email protected]ssword '

Щоб активувати запис, просто відправте її по конвеєру в Enable-QADUser (не забудьте встановити пароль - інакше операція не відбудеться):

New-QADUser -ParentContainer scorpio.local / Employees -Name 'Dmitry Sotnikov' -Password ' [Email protected]'| Enable-QADUser

Import-CSV new_users.csv | ForEach-Object (New-QADUser -ParentContainer scorpio.local / users -Name ($ _. Familia + ',' + $ _. Imya) -samAccountName ($ _. Imya + $ _. Familia) -Department $ _. Department -Title $ _. Title)

Зверніть увагу на те, що ми на льоту складаємо назву облікового запису з прізвища та імені користувача.

Приклад використання файлу імпорту
записів

Зміна структури директорії

І нарешті, звичайно ж, можна управляти структурою директорії.

Наприклад, можна створювати нові контейнери:

New-QADObject -type OrganizationUnit -ParentContainer scorpio.local -Name NewOU

і переміщати в них елементи один за одним:

Move-QADObject MyServer -To scorpio.local / servers

або оптом:

Get-QADUser -Disabled | Move-QADObject -To scorpio.local / Disabled

Імпортуємо файл і створюємо нові облікові записи

Ми легко можемо вибрати облікові записи, що задовольняють
певним критерієм, і перемістити їх в інший контейнер

І багато іншого

Мми розглянули тільки малу частину сценаріїв з управління активної Директорією. Щоб отримати повний перелік командлетів для AD, виконайте команду:

Get-Command * -QAD *

Щоб отримати довідку по будь-якій команді:

Get-Help Get-QADUser

Щоб дізнатися, які властивості є у його видають командою об'єкта:

Get-User | Get-Member

Можливості PowerShell практично безмежні, але при цьому знайти їх досить легко.

висновок

Ккак ми бачили, PowerShell є відмінним засобом управління Active Directory. Частина властивостей (ADSI) доступна в будь-яку установку PowerShell. Деякі (провайдер і командлети) вимагають додаткових модулів. Всі вони надають величезні можливості, щоб автоматизувати управління вашої корпоративної Директорією, а значить, зменшити ризики, позбутися від рутини і збільшити вашу ефективність на роботі.

Головне - ці технології вже доступні і здатні допомогти вам в адмініструванні ввірених систем вже сьогодні. На закінчення процитуємо системного адміністратора ЗАТ «УК« ЕвразФінанс »Василя Гусєва:« У нашій компанії, як і практично скрізь, Active Directory є одним з найбільш використовуваних і критичних сервісів. За допомогою PowerShell і AD Cmdlets багато завдань стало простіше виконувати через командний рядок, Ніж через ADUC (Active Directory Users and Computers. - Прим. ред.). Ніколи ще автоматизація Active Directory не була такою легкою і доступною ».

Active Directory являє собою служби для системного управління. Вони є набагато кращою альтернативою локальним групам і дозволяють створити комп'ютерні мережі з ефективним управлінням і надійним захистом даних.

Якщо ви не стикалися раніше з поняттям Active Directory і не знаєте, як працюють такі служби, ця стаття для вас. Давайте розберемося, що означає це поняття, в чому переваги подібних баз даних і як створити і налаштувати їх для початкового користування.

Active Directory - це дуже зручний спосіб системного управління. За допомогою Active Directory можна ефективно керувати даними.

Зазначені служби дозволяють створити єдину базу даних під керуванням контролерів домену. Якщо ви володієте підприємством, керуєте офісом, в загальному, контролюєте діяльність безлічі людей, яких потрібно об'єднати, вам стане в нагоді такий домен.

У нього включаються всі об'єкти - комп'ютери, принтери, факси, облікові записи користувачів та інше. Сума доменів, на яких розташовані дані, іменується «лісом». База Active Directory - це доменна середовище, де кількість об'єктів може складати до 2 мільярдів. Уявляєте ці масштаби?

Тобто, за допомогою такого «лісу» або бази даних можна поєднати велику кількість співробітників і обладнання в офісі, причому без прив'язки до місця - в службах можуть бути з'єднані і інші користувачі, наприклад, з офісу компанії в іншому місті.

Крім того, в рамках служб Active Directory створюються і об'єднуються кілька доменів - чим більше компанія, тим більше коштів необхідно для контролю її техніки в рамках бази даних.

Далі, при створенні такої мережі визначається один контролюючий домен, і навіть при подальшому наявності інших доменів початковий і раніше залишається «батьківським» - тобто тільки він має повний доступ до управління інформацією.

Де зберігаються ці дані, і чим забезпечується існування доменів? Щоб створити Active Directory, використовуються контролери. Зазвичай їх ставиться два - якщо з одним щось станеться, інформація буде збережена на другому контролері.

Ще один варіант використання бази - якщо, наприклад, ваша компанія співпрацює з іншого, і вам належить виконати загальний проект. У такому випадку може знадобитися доступ сторонніх осіб до файлів домену, і тут можна налаштувати свого роду «відносини» між двома різними «лісами», відкрити доступ до необхідної інформації, не ризикуючи безпекою інших даних.

Загалом, Active Directory є засобом для створення бази даних в рамках певної структури, незалежно від її розмірів. Користувачі і вся техніка об'єднуються в один «ліс», створюються домени, які розміщуються на контролерах.

Ще доцільно уточнити - робота служб можлива виключно на пристроях з серверними системами Windows. Крім цього, на контролерах створюється 3-4 сервера DNS. Вони обслуговують основну зону домену, а в разі, коли один з них виходить з ладу, його замінюють інші сервери.

після короткого огляду Active Directory для чайників, вас закономірно цікавить питання - навіщо міняти локальну групу на цілу базу даних? Природно, тут поле можливостей в рази ширше, а щоб з'ясувати інші відмінності даних служб для системного управління, давайте детальніше розглянемо їх переваги.

Переваги Active Directory

Плюси Active Directory наступні:

Використання одного ресурсу для аутентифікації. При такому розкладі вам потрібно на кожному ПК додати всі облікові записи, які потребують доступ до загальної інформації. Чим більше користувачів і техніки, тим складніше синхронізувати між ними ці дані.

І ось, при використанні служб з базою даних облікові записи зберігаються в одній точці, а зміни вступають в силу відразу ж на всіх комп'ютерах.

Як це працює? Кожен співробітник, приходячи в офіс, запускає систему і виконує вхід в свій обліковий запис. Запит на вхід буде автоматично подаватися до сервера, і аутентифікація відбуватиметься через нього.

Що стосується певного порядку у веденні записів, ви завжди можете поділити користувачів на групи - «Відділ кадрів» або «Бухгалтерія».

Ще простіше в такому випадку надавати доступ до інформації - якщо потрібно відкрити папку для працівників з одного відділу, ви робите це через базу даних. Вони разом отримують доступ до необхідної папці з даними, при цьому для інших документи так і залишаються закритими.

Контроль над кожним учасником бази даних.

Якщо в локальній групі кожен учасник незалежний, його важко контролювати з іншого комп'ютера, то в доменах можна встановити певні правила, відповідні політиці компанії.

Ви як системний адміністратор можете задати налаштування доступу і параметри безпеки, а після застосувати їх для кожної групи користувачів. Природно, в залежності від ієрархії, одним групам можна визначити більш жорсткі настройки, іншим надати доступ до інших файлів і діям в системі.

Крім того, коли в компанію потрапляє нова людина, його комп'ютер відразу ж отримає потрібний набір налаштувань, де включені компоненти для роботи.

Універсальність в установці програмного забезпечення.

До речі, про компонентах - при допомоги Active Directory ви можете призначати принтери, встановлювати необхідні програми відразу ж всім співробітникам, задавати параметри конфіденційності. Загалом, створення бази даних дозволить істотно оптимізувати роботу, стежити за безпекою і об'єднати користувачів для максимальної ефективності роботи.

А якщо на фірмі експлуатується окрема утиліта або спеціальні служби, їх можна синхронізувати з доменами і спростити доступ до них. Яким чином? Якщо об'єднати всі продукти, що використовуються в компанії, співробітникові не потрібно буде вводити різні логіни і паролі для входу в кожну програму - ці відомості будуть загальними.

Тепер, коли стають зрозумілими переваги і сенс використання Active Directory, давайте розглянемо процес установки зазначених служб.

Використовуємо базу даних на Windows Server 2012

Установка і настройка Active Directory - вельми неважка справа, а також виконується простіше, ніж це здається на перший погляд.

Щоб завантажити послуги, для початку необхідно виконати наступне:

Поміняти назву комп'ютера: натисніть на «Пуск», відкрийте Панель управління, пункт «Система». Виберіть «Змінити параметри» і в Свойствах навпроти рядка «Ім'я комп'ютера» клікніть «Змінити», впишіть нове значення для головного ПК.
Виконайте перезавантаження на вимогу ПК.
Задайте настройки мережі так:
- Через панель управління відкрийте меню з мережами і загальним доступом.
- Відкоректуйте настройки адаптера. Правою клавішею натисніть «Властивості» і перейдіть на вкладку «Мережа».
- У вікні зі списку клікніть на протокол інтернету під номером 4, знову натисніть на «Властивості».
- Впишіть необхідні настройки, наприклад: IP-адреса - 192.168.10.252, маска підмережі - 255.255.255.0, основний подшлюз - 192.168.10.1.
- У рядку «Кращий DNS-сервер» вкажіть адресу локального сервера, в «Альтернативному ...» - інші адреси DNS-серверів.
- Збережіть зміни і закрийте вікна.

Встановіть ролі Active Directory так:

Через пуск відкрийте «Диспетчер сервера».
У меню виберіть додавання ролей і компонентів.
Запуститься майстер, але перше вікно з описом можна пропустити.
Позначте рядок «Установка ролей і компонентів», перейдіть далі.
Виберіть ваш комп'ютер, щоб поставити на нього Active Directory.
Зі списку відзначте роль, яку потрібно завантажити - для вашого випадку це «Доменні служби Active Directory».
з'явиться невелике вікно з пропозицією завантаження необхідних для служб компонентів - прийміть його.
Після вам запропонують встановити інші компоненти - якщо вони вам не потрібні, просто пропустіть цей крок, натиснувши «Далі».
Майстер налаштування виведе вікно з описами встановлюються вами служб - прочитайте і рухайтеся далі.
З'явитися перелік компонентів, які ми збираємося встановити - перевірте, чи все вірно, і якщо так, тисніть на відповідну клавішу.
По завершенні процесу закрийте вікно.
Ось і все - служби завантажені на ваш комп'ютер.

Налаштування Active Directory

Для настройки доменної служби вам потрібно зробити наступне:

Запустіть однойменний майстер настройки.
Натисніть на жовтий покажчик у верхній частині вікна і виберіть «Підвищити роль сервера до рівня контролера домену».
Натисніть на додавання нового «лісу» і створіть ім'я для кореневого домена, потім клацніть «Далі».
Вкажіть режими роботи «лісу» і домена - найчастіше вони збігаються.
Придумайте пароль, але обов'язково запам'ятайте його. Перейдіть далі.
Після цього ви можете побачити попередження про те, що домен не делегований, і пропозиція перевірити ім'я домену - можете пропустити ці кроки.
У наступному вікні можна змінити шлях до каталогів з базами даних - зробіть це, якщо вони вам не підходять.
Тепер ви побачите всі параметри, які збираєтеся встановити - перегляньте, чи правильно вибрали їх, і йдіть далі.
Додаток перевірить, чи виконуються попередні вимоги, і якщо зауважень немає, або вони некритичні, тисніть «Встановити».
Після закінчення інсталяції ПК самостійно перевантажитися.

Ще вам може бути цікаво, як додати користувача в базу даних. Для цього скористайтеся меню «Користувачі або комп'ютери Active Directory», яке ви знайдете в розділі «Адміністрування» в панелі управління, або використовуйте меню налаштувань бази даних.

Щоб додати нового користувача, натисніть правою клавішею за назвою домену, виберіть «Створити», після «Підрозділ». Перед вами з'явиться вікно, де потрібно ввести ім'я нового підрозділу - воно служить папкою, куди ви можете збирати користувачів по різних відділах. Таким же чином ви пізніше створите ще кілька підрозділів і грамотно розмістіть всіх співробітників.

Далі, коли ви створили ім'я підрозділи, натисніть на нього правою клавішею миші та виберіть «Створити», після - «Користувач». Тепер залишилося тільки ввести необхідні дані і поставити настройки доступу для користувача.

Коли новий профіль буде створений, натисніть на нього, вибравши контекстне меню, і відкрийте «Властивості». У вкладці «Облікова запис» видаліть позначку навпроти «Заблокувати ...». На цьому все.

Загальний висновок такий - Active Directory це потужний і корисний інструмент для системного управління, який допоможе об'єднати всі комп'ютери співробітників в одну команду. За допомогою служб можна створити захищену базу даних і істотно оптимізувати роботу і синхронізацію інформації між усіма користувачами. Якщо діяльність вашої компанії і будь-якого іншого місця роботи пов'язана з електронними обчислювальними машинами і мережею, вам потрібно об'єднувати облікові записи і стежити за роботою і конфіденційністю, установка бази даних на основі Active Directory стане відмінним рішенням.

Після установки Active Directory можна приступити до створення об'єктів і управління ними.

6.5.1. Створення підрозділів і об'єктів в них

6.5.1.1. Створення організаційних підрозділів (ВП)

ОП можна створити в рамках домену, об'єкта Domain Controller або іншого ОП (рис. 6.3). У створене ОП можна додавати об'єкти.

Для створення ВП необхідно мати повноваження по додаванню підрозділів в батьківське ОП, домен або вузол Domain Controller, де буде створюватися ОП. За замовчуванням такими повноваженнями наділена група Administrators (адміні-

стратор).

Не можна створювати ОП в більшості стандартних контей-

рів, таких як Computers або Users.

Мал. 6.3. ОП Кафедра ОТЗІ в вузлі Domain Controller

ОП створюються для спрощення адміністрування мережі. Структура ОП повинна ґрунтуватися на конкретних завданнях ад

міністрірованія. Ви можете легко змінювати структуру ОП або переміщати об'єкти між ОП.

ОП створюються в наступних випадках:

щоб надати адміністративні повноваження іншим користувачам або адміністраторам;

для групування об'єктів, над якими виконуються подібні адміністративні операції; це полегшує пошук подібних мережевих ресурсів і їх обслуговування - так, можна об'єднати в одному ОП всі об'єктиUser для тимчасових службовців;

для обмеження видимості мережевих ресурсів в сховище Active Directory користувачі побачать тільки ті об'єкти, до яких мають доступ; дозволу для ВП можна легко змінити, обмеживши доступ до конфіденційної інформації.

6.5.1.2. Додавання об'єктів в ОП

Для додавання об'єктів в ОП Ви повинні володіти в ньому відповідними повноваженнями. За замовчуванням такі права надані групі Administrators. Різновиди створюваних об'єктів залежать від правил схеми, що використовується майстра або оснащення. Деякі атрибути об'єкта можна визначити тільки після його створення.

6.5.2. Управління об'єктами Active Directory

Управління об'єктами Active Directory включає пошук об'єктів, їх зміна, знищення або переміщення. У двох останніх випадках треба мати відповідні дозволи для об'єкта або для ОП, куди Ви переміщаєте об'єкт. За замовчуванням даними повноваженнями володіють всі члени групи Administrators.

6.5.2.1. Пошук об'єктів

Глобальний каталог (ГК) містить часткову репліку всього каталогу і зберігає інформацію про всі об'єкти в дереві доменів або ліс. Тому користувач може знайти об'єкт незалежно від його розташування в домені або лісі. Зміст ГК автоматично генерується за відомостями з доменів, що становлять каталог.

Для пошуку об'єктів відкрийте оснащення, ярлик якої знаходиться в групі программAdministrative Tools. У дереві консолі клацніть правою

кнопкою миші домен або ВП і виберіть в контекстному меню команду Find (Знайти). Відкриється діалогове окноFind

(Пошук) (рис. 6.4).

Мал. 6.4. Діалогове вікно Find (Пошук)

Якщо Ви розкриєте контекстне меню об'єкта Shared folder (Загальна папка)і виберете командуFind

(Знайти), буде запущена функція пошуку Windows Explorer, і Ви зможете шукати в загальнодоступному місці файли і папки.

Діалогове вікно Find включає параметри пошуку в ГК, що дозволяють знаходити облікові записи, групи і принтери.

6.5.2.2. Зміна значень атрибутів

і видалення об'єктів

Щоб змінити значення атрибута, відкрийте оснащення Ac-

tive Directory Users And Computers і виберіть екземпляр об'єктивним

та. У меню Action (Дія) виберіть командуProperties (Властивості). У діалоговому вікні властивостей об'єк

єкта змініть потрібні атрибути об'єкта. Потім внесіть поправки в опис об'єкта, наприклад, змінюйте об'єкт User, щоб змінити ім'я, місце розташування і електронна адреса користувача. Якщо об'єкти більше не потрібні, видаліть їх в цілях безпеки: відкривши оснасткуActive Directory Users And

Computers, виділіть екземпляр об'єкту, що видаляється, а потім в менюAction (Дія) виберіть командуDelete

(Вилучити).

6.5.2.3. переміщення об'єктів

У сховище Active Directory можна переміщати об'єкти, наприклад між ОП, щоб відобразити зміни в структурі підприємства при перекладі співробітника з одного відділу в дру-

гой. Для цього, відкривши оснащення Active Directory Users And Com-

puters, виділіть переміщуваний об'єкт, в менюAction (Дія) виберіть командуMove (Перемістити) і

вкажіть нове місце розташування об'єкта.

6.5.3. Управління доступом до об'єктів Active Directory

Для контролю доступу до об'єктів Active Directory застосовується об'єктно-орієнтована модель захисту, подібна моделі захисту NTFS.

Кожен об'єкт Active Directory має дескриптор безпеки, який визначає, хто має право доступу до об'єкта і тип цього доступу. Windows Server використовує дескриптори безпеки для управління доступом до об'єктів.

Для спрощення адміністрування можна згрупувати об'єкти з однаковими вимогами безпеки в ОП і встановити дозволи доступу для всього ОП і всіх об'єктів в ньому.

6.5.3.1. Управління дозволами Active Directory

Дозволи Active Directory забезпечують захист ресурсів, дозволяючи управляти доступом до екземплярів об'єктів або атрибутів об'єктів і визначати вид наданого доступу.

Захист Active Directory

Адміністратор або власник об'єкта повинен призначити об'єкту дозволу доступу ще до того, як користувачі зможуть отримувати доступ до цього об'єкта. Windows Server зберігає список управління доступом (access control list, ACL) для каждо-

го об'єкта Active Directory.

ACL об'єкта включає перелік користувачів, яким дозволений доступ до об'єкта, а також набір допустимих над об'єктом дій.

Можна задіяти дозволу для призначення адміністративних повноважень конкретного користувача або групи щодо ОП, ієрархії ОП або окремого об'єкта без призначення адміністративних дозволів на управління дру-

шими об'єктами Active Directory.

Дозволи доступу до об'єкту

Залежать від типу об'єкта - наприклад, дозвіл Reset Password допустимо для об'ектовUser, але не для об'єктів

Computer.

Користувач може бути членом декількох груп з різними дозволами для кожної з них, що забезпечують різні рівні доступу до об'єктів. При призначенні дозволу на доступ до об'єкта члену групи, наділеної іншими дозволами, ефективні права користувача будуть складатися з його дозволів і дозволів групи.

Можна надавати або анулювати дозволи. Анульовані дозволи для користувачів і груп приоритетнее будь-яких виданих дозволів.

Якщо користувачеві заборонено звертатися до об'єкта, то він не отримає доступ до нього навіть як член повноважною групи.

Призначення дозволів Active Directory

Налаштувати дозволу об'єктів і їх атрибутів дозволяє оснащення Active Directory Users And Computers. призначити раз-

рішення також можна на вкладці Security (Безпека)діалогового вікна властивостей об'єкта.

Для виконання більшості завдань адміністрування досить стандартних дозволів.

Олександр Ємельянов

Адміністрування облікових записів в домені Active Directory

Одна з найважливіших завдань адміністратора - управління локальними і доменними обліковими записами: аудит, квотування і розмежування прав користувачів в залежності від їх потреб і політики компанії. Що може запропонувати в цьому плані Active Directory?

В продовження циклу статей про Active Directory сьогодні ми поговоримо про центральному ланці в процесі адміністрування - управлінні користувача обліковими даними в рамках домену. Нами буде розглянуто:

створення облікових записів і керування ними;
типи профілів користувачів і їх застосування;
групи безпеки в доменах AD і їх поєднання.

В кінцевому підсумку ви зможете застосувати ці матеріали для побудови робочої інфраструктури або доопрацювання існуючої, яка буде відповідати вашим вимогам.

Забігаючи вперед, скажу, що тема тісно пов'язана із застосуванням групових політик для адміністративних цілей. Але внаслідок просторості матеріалу, присвяченого їм, вона буде розкрита в рамках наступної статті.

Знайомство з Active Directory - Users and Computers

Після того як ви встановили свій перший контролер в домені (тим самим ви власне і організували домен), в розділі «Адміністрування» з'являється п'ять нових елементів (див. Рис. 1).

Для управління об'єктами AD використовується Active Directory - користувачі й комп'ютери (ADUC - AD Users and Computers, див. Рис. 2), яка також може бути викликана через меню «Виконати» за допомогою DSA.MSC.

За допомогою ADUC можна створювати і видаляти користувачів, призначати сценарії входу для облікового запису, управляти членством в групах і груповими політиками.

Існує також можливість для управління об'єктами AD без звернення до сервера безпосередньо. Її забезпечує пакет ADMINPAK.MSI, розташований в директорії «% SYSTEM_DRIVE% \\ Windows \\ system32». Розгорнувши його на своїй машині і наділивши себе правами адміністратора домену (якщо таких не було), ви зможете адмініструвати домен.

При відкритті ADUC ми побачимо гілку нашого домену, що містить п'ять контейнерів і організаційних одиниць.

Builtin. Тут містяться вбудовані локальні групи, які є на будь-який серверній машині, включаючи і контролери домену.
Users і Computers. Це контейнери, в які за умовчанням розміщуються користувачі, групи і облікові записи комп'ютерів при установці системи поверх Windows NT. Але для створення і зберігання нових облікових записів немає необхідності користуватися тільки цими контейнерами, користувача можна створити навіть в контейнері домену. При включенні комп'ютера в домен він з'являється саме в контейнері Computers.
Domain Controllers. Це організаційна одиниця (OU, Organizational Unit), що містить за замовчуванням контролери домену. При створенні нового контролера він з'являється тут.
ForeignSecurityPrincipals. Це контейнер за умовчанням для об'єктів із зовнішніх довіряємо доменів.

Важливо пам'ятати, що об'єкти групових політик прив'язуються виключно до домену, OU або сайту. Це потрібно враховувати при створенні адміністративної ієрархії вашого домену.

Вводимо комп'ютер в домен

Процедура виконується безпосередньо на локальній машині, яку ми хочемо підключити.

Вибираємо «Мій комп'ютер -\u003e Властивості -\u003e Ім'я комп'ютера», натискаємо кнопку «Змінити» і в меню «Є членом» вибираємо «домену». Вводимо ім'я домену, в який ми хочемо додати наш комп'ютер, і далі доводимо, що у нас є права на додавання робочих станцій до домену, ввівши аутентифікаційні дані адміністратора домену.

Створюємо користувача домену

Для створення користувача потрібно вибрати будь-який контейнер, в якому він буде розташовуватися, натиснути на ньому правою кнопкою миші і вибрати «Створити -\u003e Користувач». Відкриється майстер створення користувача. Тут ви зможете вказати безліч його атрибутів, починаючи з імені користувача і тимчасовими рамками входу в домен і закінчуючи налаштуваннями для термінальних служб і віддаленого доступу. По завершенні роботи майстра ви отримаєте нового користувача домену.

Потрібно зауважити, що в процесі створення користувача система може «лаятися» на недостатню складність пароля або його стислість. Пом'якшити вимоги можна, відкривши «Політику безпеки домена» (Default Domain Security Settings) і далі «Параметри безпеки -\u003e Політики облікових записів -\u003e Політика паролів».

Нехай ми створили користувача Іван Іванов в контейнері Users (User Logon Name: [Email protected]). Якщо в системах NT 4 це ім'я грало лише роль прикраси, то в AD воно є частиною імені в форматі LDAP, яке цілком виглядає так:

cn \u003d "Іван Іванов", cn \u003d "Users", dc \u003d "hq", dc \u003d "local"

Тут cn - container name, dc - domain component. Описи об'єктів в форматі LDAP використовуються для виконання сценаріїв WSH (Windows Script Hosts) або для програм, що використовують протокол LDAP для зв'язку з Active Directory.

Для входу в домен Іван Іванов повинен буде використовувати ім'я в форматі UPN (Universal Principal Name): [Email protected] Також в доменах AD буде зрозуміло написання імені в старому форматі NT 4 (перед Win2000), в нашому випадку HQ \\ Ivanov.

При створенні облікового запису користувача їй автоматично привласнюється ідентифікатор безпеки (SID, Security Identifier) \u200b\u200b- унікальний номер, за яким система і визначає користувачів. Це дуже важливо розуміти, так як при видаленні облікового запису видаляється і її SID і ніколи не використовується повторно. А кожна нова обліковий запис буде мати свій новий SID, саме тому вона не зможе отримати права і привілеї старої.

Обліковий запис можна перемістити в інший контейнер або OU, відключити або, навпаки, включити, копіювати або поміняти пароль. Копіювання часто застосовується для створення декількох користувачів з однаковими параметрами.

Робоче середовище користувача

Облікові дані, що зберігаються централізовано на сервері, дозволяють користувачам однозначно ідентифікувати себе в домені і отримувати відповідні права і доступ до робочого середовища. Усе операційні системи сімейства Windows NT використовують для створення робочого оточення на клієнтській машині профіль користувача.

локальний профіль

Розглянемо основні складові профілю користувача:

Розділ реєстру, що відповідає певному користувачеві ( «вулик» або «hive»).Фактично дані цієї гілки реєстру зберігаються в файлі NTUSER.DAT. Він розташовується в папці% SYSTEMDRIVE% \\ Documents and Settings \\ User_name, яка містить профіль користувача. Таким чином, при вході конкретного користувача в систему в розділ реєстру HKEY_CURRENT_USER завантажується «вулик» NTUSER.DAT з папки, що містить його профіль. І все змінити установки користувальницької середовища за сеанс будуть зберігатися саме в цей «вулик». Файл NTUSER.DAT.LOG - це журнал транзакцій, який існує для захисту файлу NTUSER.DAT. Однак для користувача Default User ви навряд чи його знайдете, оскільки він є шаблоном. Про це далі. Адміністратор має можливість редагувати «вулик» певного користувача прямо зі свого робочого середовища. Для цього за допомогою редактора реєстру REGEDIT32 він повинен завантажити «вулик» в розділ HKEY_USERS, а потім після внесення змін вивантажити його.
папки файлової системи, Що містять файли налаштувань. Вони розташовуються в спеціальному каталозі% SYSTEMDRIVE% \\ Documents and Settings \\ User_name, де User_name - ім'я користувача, який увійшов в систему. Тут зберігаються елементи робочого столу, елементи автозавантаження, документи та ін.

Якщо користувач вперше входить в систему, відбувається наступне:

Система перевіряє, чи існує локальний профіль цього користувача.
Не знайшовши його, система звертається до контролера домену в пошуку доменного профілю за замовчуванням, який повинен розташовуватися в папці Default User на загальному ресурсі NETLOGON; якщо система виявила цей профіль, він копіюється локально на машину в папку% SYSTEMDRIVE% \\ Documents and Settings з ім'ям користувача, в іншому випадку він копіюється з локальної папки% SYSTEMDRIVE% \\ Documents and Settings \\ Default User.
В розділ реєстру HKEY_CURRENT_USER завантажується призначений для користувача «вулик».
При виході з системи всі зміни зберігаються локально.

В кінцевому підсумку робоче оточення користувача - це об'єднання його робочого профілю та профілю All Users, в якому знаходяться загальні для всіх користувачів даної машини настройки.

Тепер кілька слів про створення профілю за замовчуванням для домену. Створіть фіктивний профіль на своїй машині, налаштуйте його відповідно до ваших потреб або з вимогами корпоративної політики. Потім вийдіть із системи і знову зайдіть як адміністратор домена. На загальному ресурсі NETLOGON-сервера створіть папку Default User. Далі за допомогою вкладки User Profiles в апплете System (див. Рис. 3) скопіюйте ваш профіль в цю папку і надайте права на її використання групі Domain Users або будь-якої іншої підходящої групі безпеки. Все, профіль за замовчуванням для вашого домену створено.

переміщуваний профіль

Active Directory як гнучка і масштабована технологія дозволяє працювати в середовищі вашого підприємства з переміщуваними профілями, які ми розглянемо далі.

Одночасно з цим буде доречним розповісти про перенаправлення папок як однієї з можливостей технології IntelliMirror для забезпечення відмовостійкості і централізованого зберігання призначених для користувача даних.

Переміщувані профілі зберігаються на сервері. Шлях до них вказується в налаштуваннях користувача домену (див. Рис. 4).

При бажанні можна вказати переміщувані профілі для декількох користувачів одночасно, виділивши декількох користувачів, і у властивостях у вкладці «Профіль» вказати% USERNAME% замість папки з ім'ям користувача (див. Рис. 5).

Процес першого входу в систему користувача, що володіє переміщуються профілем, схоже описаного вище для локального, за деяким винятком.

По-перше, раз шлях до профілю в об'єкті користувача вказано, система перевіряє наявність кешованої локальної копії профілю на машині, далі все, як було описано.

По-друге, по завершенні роботи всі зміни копіюються на сервер, і якщо груповими політиками не вказано видаляти локальну копію, зберігаються на даній машині. Якщо ж користувач уже мав локальну копію профілю, то серверна і локальна копії профілю порівнюються, і відбувається їх об'єднання.

Технологія IntelliMirror в системах Windows останніх версій дозволяє здійснювати перенаправлення певних папок користувачів, таких як «Мої документи», «Мої малюнки» і ін., на мережевий ресурс.

Таким чином, для користувача все проведені зміни будуть абсолютно прозорі. Зберігаючи документи в папку «Мої документи», яка свідомо буде перенаправлено на мережевий ресурс, він навіть і не буде підозрювати про те, що все зберігається на сервер.

Налаштувати перенаправлення можна як вручну для кожного користувача, так і за допомогою групових політик.

У першому випадку потрібно клікнути на іконку «Мої документи» на робочому столі або в меню «Пуск» правою кнопкою миші і вибрати властивості. Далі все гранично просто.

По-другому випадку потрібно відкрити групову політику OU або домену, для яких ми хочемо застосувати перенаправлення, і розкрити ієрархію «Конфігурація користувача -\u003e Конфігурація Windows» (див. Рис. 6). Далі перенаправлення налаштовується або для всіх користувачів, або для певних груп безпеки OU або домену, до яких ця групова політика буде застосовуватися.

Використовуючи перенаправлення папок до роботи з переміщуваними профілями користувачів, можна домогтися, наприклад, зменшення часу завантаження профілю. Це за умови того, що переміщуваний профіль завантажується завжди з сервера без використання локальної копії.

Розповідь про технології перенаправлення папок був би неповним без згадки про автономних файлах. Вони дозволяють користувачам працювати з документами навіть при відсутності підключення до мережі. Синхронізація з серверними копіями документів відбувається при наступному підключенні комп'ютера до мережі. Така схема організації буде корисна, наприклад, користувачам ноутбуків, що працюють як в рамках локальної мережі, так і вдома.

До недоліків переміщуваних профілів можна віднести наступне:

може виникнути ситуація, коли, наприклад, на робочому столі користувача будуть існувати ярлики деяких програм, а на іншій машині, де захоче попрацювати володар переміщуваного профілю таких програм не встановлено, відповідно частина ярликів не працюватиме;
багато користувачів мають звичку зберігати документи, а також фотографії і навіть відео на робочому столі, в результаті при завантаженні переміщуваного профілю з сервера кожного разу створюється додатковий трафік в мережі, а сам профіль завантажується дуже довго; для вирішення проблеми використовуйте дозволу NTFS, щоб обмежити збереження «сміття» на робочому столі;
кожен раз, коли користувач входить в систему, для нього створюється локальний профіль (точніше, профіль з сервера копіюється локально), і якщо змінює робочі машини, то на кожній з них залишається такою «сміття»; цього можна уникнути, налаштувавши певним чином групові політики ( «Конфігурація комп'ютера -\u003e Адміністративні шаблони -\u003e System -\u003e User Profiles», політика «Delete cached copies of roaming profiles»).

Введення вже існуючого користувача в домен

Найчастіше при впровадженні служби каталогів в уже існуючій мережі на базі робочих груп виникає питання про введення користувача в домен без втрати налаштувань його робочого середовища. Цього можна домогтися, використовуючи переміщувані профілі.

Створіть на загальному мережевому ресурсі (наприклад, Profiles) на сервері папку з ім'ям користувача і задайте для неї дозволу на запис для групи Everyone. Нехай вона називається HQUser, а повний шлях до неї виглядає так: \\\\ Server \\ Profiles \\ HQUser.

Створіть користувача домену, який буде відповідати користувачеві вашої локальної мережі, і як шлях до профілю вкажіть \\\\ Server \\ Profiles \\ HQUser.

На комп'ютері, що містить локальний профіль нашого користувача, потрібно увійти під обліковим записом адміністратора і за допомогою вкладки User Profiles аплету System скопіювати його в папку \\\\ Server \\ Profiles \\ HQUser.

Неважко зрозуміти, що при наступному вході в систему під нової доменної обліковим записом наш користувач завантажить свій робочий профіль з сервера, і адміністратору залишиться лише вирішити, залишити цей профіль переміщуються або зробити локальним.

квотування

Дуже часто користувачі завантажують непотрібною інформацією мережеві диски. Щоб уникнути постійних прохань почистити свої особисті папки від непотрібного сміття (чомусь він завжди виявляється необхідним), можна використовувати механізм квотування. Починаючи з Windows 2000 це можна робити стандартними засобами на томах NTFS.

Для включення механізму квотування і його настройки потрібно зайти в властивості локального томи і відкрити вкладку «Квота» (Quota) (див. Рис. 7).

Також можна подивитися дані про займаному просторі на диску і налаштувати квоти окремо для кожного користувача (див. Рис. 8). Система підраховує займане місце на диску, грунтуючись на даних про власника об'єктів, підсумовуючи обсяг належних йому файлів і папок.

Групи користувачів в AD

Управління користувачами в рамках домену - завдання нескладне. Але коли потрібно налаштувати доступ до певних ресурсів для кількох десятків (а то й сотень) користувачів, на роздачу прав доступу може піти багато часу.

А якщо виникає необхідність тонко розмежувати права учасникам кількох доменів в рамках дерева або лісу, перед адміністратором постає завдання на кшталт завданням з теорії множин. На допомогу тут приходить використання груп.

Основна характеристика груп, що зустрічаються в рамках домену, була дана в минулій статті, присвяченій архітектурі служби каталогів.

Нагадаю, що локальні групи домену можуть включати користувачів свого домену та інших доменів в лісі, але область її дії обмежується доменом, якому вона належить.

Глобальні групи можуть включати в себе тільки тих, хто свого домену, але є можливість їх використання для надання доступу до ресурсів як в рамках свого, так і іншого домену в лісі.

Універсальні групи, відповідаючи своїй назві, можуть містити користувачів з будь-якого домену і використовуватися також для надання доступу в рамках усього лісу. Не важливо, в рамках якого домену універсальна група буде створена, єдине, варто враховувати, що при її переміщенні права доступу будуть губитися і їх необхідно буде перепризначити заново.

Щоб зрозуміти описане вище і основні принципи вкладеності груп, розглянемо приклад. Нехай у нас є ліс, який містить два домена HQ.local і SD.local (який з них кореневої в даному випадку, не важливо). Кожен з доменів містить ресурси, до яких потрібно надати доступ, і користувачів (див. Рис. 9).

З рис. 9 видно, що до ресурсів Docs і Distrib повинні мати доступ всі користувачі в лісі (зелені та червоні лінії), тому ми можемо створити універсальну групу, яка містить користувачів з обох доменів, і використовувати її при вказівці дозволів на доступ до обох ресурсів. Або ми можемо створити дві глобальні групи в кожному домені, які будуть містити користувачів тільки свого домену, і включити їх в універсальну групу. Будь-яку з цих глобальних груп також можна використовувати для призначення прав.

Доступ до каталогу Base повинні мати користувачі тільки з домена HQ.local (сині лінії), тому ми включимо їх в локальну доменну групу, і цій групі надамо доступ.

Каталогом Distrib матимуть право користуватися як члени домену HQ.local, так і члени домену SD.local (помаранчеві лінії на рис. 9). Тому користувачів Manager і Salary ми можемо додати в глобальну групу домену HQ.local, а потім цю групу додати в локальну групу домену SD.local разом з користувачем IT. Потім цієї локальної групи і надати доступ до ресурсу Distrib.

Зараз ми розглянемо вкладеність цих груп докладніше і розглянемо ще один тип груп - вбудовані локальні доменні групи.

У таблиці показано, які групи в які можуть бути вкладені. Тут по горизонталі розташовані групи, в які вкладаються групи, розташовані по вертикалі. Плюс означає, що один вид груп може бути вкладений в інший, мінус - немає.

На якомусь ресурсі в Інтернеті, присвяченому сертифікаційних іспитів Microsoft, я побачив згадка про таку формулі - AGUDLP, що означає: облікові записи (Account) поміщаються в глобальні групи (Global), які поміщаються в універсальні (Universal), які поміщаються в локальні доменні групи (Domain Local), до яких і застосовуються дозволу (Permissions). Ця формула в повній мірі визначає можливість вкладеності. Слід додати, що всі ці види можуть бути вкладені в локальні групи окремо взятої машини (локальні доменні виключно в рамках свого домену).

Вкладеність доменних груп

вкладеність	локальні групи	Глобальні групи	універсальні групи
Обліковий запис
локальні групи	+ (За винятком вбудованих локальних груп і тільки в межах власного домену)
Глобальні групи		+ (Тільки в межах власного домену)
універсальні групи

Вбудовані локальні доменні групи розташовані в контейнері Builtin і є фактично локальними групами машини, але тільки для контролерів домену. І на відміну від локальних доменних груп з контейнера Users не можуть бути переміщені в інші організаційні одиниці.

Правильне розуміння процесу адміністрування облікових записів дозволить вам створити чітко налагоджену робоче середовище підприємства, забезпечивши гнучкість управління, а головне - відмовостійкість і безпеку домену. У наступній статті ми поговоримо про групових політиках як інструменті для створення призначеного для користувача оточення.

прикладна програма

Нюанси доменної аутентифікації

При використанні локальних профілів може виникнути ситуація, коли користувач домену намагається увійти на робочу станцію, Яка має його локальний профіль, але з якихось причин не має доступу до контролера. На подив, користувач успішно пройде аутентифікацію і буде допущений до роботи.

Така ситуація виникає через кешування мандата користувача і може бути виправлена \u200b\u200bвнесенням змін до реєстру. Для цього в папці HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ Current Version \\ Winlogon створити (якщо такої немає) запис з ім'ям CachedLogonCount, типом даних REG_DWORD і встановити її значення в нуль. Аналогічного результату можна досягти за допомогою групових політик.

Ємельянов А. Принципи побудови доменів Active Directory, // « Системний адміністратор», №2, 2007 - С. 38-43.