Средства удаленного администрирования active directory в windows 10
Содержание:
- Улучшения в области выдачи идентификаторов RID и управления имиRID Management and Issuance Improvements
- Соглашения об именовании учетных записей и группAccount and Group Naming Conventions
- Роли мастеров операций уровня домена
- Где скачать и как установить
- Установка и настройка Active Directory
- Active Directory — что это простыми словами
- Форматы
- Преимущества Active Directory
- Очистка ресурсовClean up resources
- Типы групп Active Directory
- Общее
- Функции и предназначения
- Как можно определить, какой контроллер домена обладает ролью FSMO
- Редактирование атрибутов Active Directory в Центр администрирования Active Directory
- Компоненты GPO
Улучшения в области выдачи идентификаторов RID и управления имиRID Management and Issuance Improvements
В системе Active Directory в Windows 2000 появился хозяин RID, который выдавал пулы относительных идентификаторов контроллерам домена, чтобы последние могли создавать идентификаторы безопасности (SID) для субъектов безопасности, таких как пользователи, группы и компьютеры.Windows 2000 Active Directory introduced the RID Master, which issues pools of relative identifiers to domain controllers, in order to create security identifiers (SIDs) of security trustees like users, groups, and computers. По умолчанию глобальное пространство RID ограничено общим количеством идентификаторов безопасности (230, или 1 073 741 823), которое можно создать в домене.By default, this global RID space is limited to 230 (or 1,073,741,823) total SIDs created in a domain. Идентификаторы безопасности нельзя вернуть в пул или выдать повторно.SIDs cannot return to the pool or reissue. Со временем в большом домене может возникнуть нехватка идентификаторов RID либо их пул может начать иссякать в результате различных происшествий, ведущих к удалению RID.Over time, a large domain may begin to run low on RIDs, or accidents may lead to unnecessary RID depletion and eventual exhaustion.
В Windows Server 2012 решен ряд проблем, связанных с выдачей идентификаторов RID и управлением ими, которые были выявлены клиентами и службой поддержки клиентов Майкрософт с 1999 года, когда были созданы первые домены Active Directory.Windows Server 2012 addresses a number of RID issuance and management issues uncovered by customers and Microsoft Customer Support as AD DS matured since the creation of the first Active Directory domains in 1999. К ним относятся следующие.These include:
- В журнал событий периодически записываются предупреждения об использовании идентификаторов RID.Periodic RID consumption warnings are written to the event log
- Когда администратор делает пул RID недействительным, в журнале создается событие.Events log when an administrator invalidates a RID pool
- Ограничение на максимальный размер блока RID теперь устанавливается принудительно в политике RID.A maximum cap on the RID policy RID Block Size is now enforced
- Искусственный верхний порог RID теперь применяется принудительно, а если глобальное пространство RID истощается, в журнал заносится запись, что позволяет администратору предпринять меры прежде, чем пространство будет исчерпано.Artificial RID ceilings are now enforced and logged when the global RID space is low, allowing an administrator to take action before the global space is exhausted
- Глобальное пространство RID теперь можно увеличить на один бит, благодаря чему его размер увеличивается вдвое — до 231 (2 147 483 648 идентификаторов безопасности).The global RID space can now be increased by one bit, doubling the size to 231 (2,147,483,648 SIDs)
Подробнее об идентификаторах RID и хозяине RID см. в разделе Принципы работы идентификаторов безопасности.For more information about RIDs and the RID Master, review How Security Identifiers Work.
Соглашения об именовании учетных записей и группAccount and Group Naming Conventions
В следующей таблице представлено описание соглашений об именовании, используемых в этом документе для групп и учетных записей, упоминаемых в документе.The following table provides a guide to the naming conventions used in this document for the groups and accounts referenced throughout the document. В таблицу включены сведения о расположении каждой учетной записи или группы, ее имя, а также о том, как в этом документе указываются ссылки на эти учетные записи или группы.Included in the table is the location of each account/group, its name, and how these accounts/groups are referenced in this document.
Расположение учетной записи или группыAccount/Group Location | Имя учетной записи или группыName of Account/Group | Как на него ссылаться в этом документеHow It is Referenced in this Document |
---|---|---|
Active Directory — каждый доменActive Directory — each domain | АдминистраторAdministrator | Встроенная учетная запись администратораBuilt-in Administrator account |
Active Directory — каждый доменActive Directory — each domain | АдминистраторыAdministrators | Встроенная группа администраторов (BA)Built-in Administrators (BA) group |
Active Directory — каждый доменActive Directory — each domain | Администраторы доменаDomain Admins | Группа администраторов домена (DA)Domain Admins (DA) group |
Active Directory — корневой домен лесаActive Directory — forest root domain | Администраторы предприятияEnterprise Admins | Группа администраторов предприятия (EA)Enterprise Admins (EA) group |
База данных диспетчера учетных записей безопасности локального компьютера (SAM) на компьютерах под управлением Windows Server и рабочих станций, не являющихся контроллерами доменаLocal computer security accounts manager (SAM) database on computers running Windows Server and workstations that are not domain controllers | АдминистраторAdministrator | Учетная запись локального администратораLocal Administrator account |
База данных диспетчера учетных записей безопасности локального компьютера (SAM) на компьютерах под управлением Windows Server и рабочих станций, не являющихся контроллерами доменаLocal computer security accounts manager (SAM) database on computers running Windows Server and workstations that are not domain controllers | АдминистраторыAdministrators | Локальная группа администраторовLocal Administrators group |
Роли мастеров операций уровня домена
- Мастер относительных идентификаторов RID
- Эмулятор главного контроллера домена PDC
- Мастер инфраструктуры
Мастер RID
Таблица 1. Структура элемента идентификатора
Элемент идентификатора SID | Описание |
S1 | Указывает ревизию SID. В настоящее время для SID используется только одна ревизия |
5 | Указывает центр выдачи принципала безопасности. Значение 5 всегда указывается для доменов Windows NT, Windows 2000, Windows 2003, Windows 2008 и Windows 2008 R2 |
Y1-Y2-Y3 | Часть идентификатора SID домена. Для принципалов безопасности, созданных в домене этот элемент идентификатора идентичен |
Y4 | Относительный идентификатор (RID) для домена, который представляет имя пользователя или группы. Этот элемент генерируется из пула RID на контроллере домена во время создания объекта |
«Active Directory – пользователи и компьютеры»Ntdsutil.exefSMORoleOwner
Эмулятор PDC
эмулятор PDC
- Участие в репликации обновлений паролей домена. При изменении или сбросе пароля пользователя, контроллер домена, вносящий изменения, реплицирует это изменение на PDC-эмулятор посредством срочной репликации. Эта репликация гарантирует, что контроллеры домена быстро узнают изменённый пароль. В том случае, если пользователь пытается войти в систему сразу после изменения пароля, контроллер домена, отвечающий на этот запрос, может ещё не знать новый пароль. Перед тем как отклонить попытку входа, этот контроллер домена направляет запрос проверки подлинности на PDC-эмулятор, который проверяет корректность нового пароля и указывает контроллеру домена принять запрос входа. Это означает, что каждый раз при вводе пользователем неправильного пароля проверка подлинности направляется на PDC-эмулятор для получения окончательного заключения;
- Управление обновлениями групповой политики в домене. Как вы знаете, для управления большинства настройками в конфигурации компьютеров и пользователей вашей организации применяются групповые политики. В том случае, если объект групповой политики модифицируется на двух контроллерах домена приблизительно в одинаковое время, то впоследствии, могут возникать конфликты между двумя версиями, которые не разрешаются при репликации объектов групповых политик. Во избежание таких конфликтов, PDC-эмулятор действует следующим образом: при открытии объекта групповой политики, оснастка редактора управления групповой политики привязывается к контроллеру домена, выполняющего роль PDC и все изменения объектов GPO по умолчанию вносятся на PDC-эмулятор;
- Выполнение функции центрального браузера домена. Для обнаружения сетевых ресурсов клиенты используют Active Directory. При открытии окна «Сеть» в операционной системе отображается список рабочих групп и доменов. После того как пользователь откроет указанную рабочую группу или домен он сможет увидеть список компьютеров. Эти списки генерируются посредством службы браузера, и в каждом сетевом сегменте ведущий браузер создаёт список просмотра с рабочими группами, доменами и серверами данного сегмента. После чего центральный браузер объединяет списки всех ведущих браузеров для того, чтобы клиентские машины могли просмотреть весь список просмотра. Думаю, из всех функций эмулятора PDC у вас могут возникнуть вопросы, связанные непосредственно с центральным браузером домена, поэтому, данная тема будет подробно рассмотрена в отдельной статье;
- Обеспечение главного источника времени домена. Так как службы Active Directory, Kerberos, DFS-R и служба репликации файлов FRS используют штампы времени, во всех системах домена необходима синхронизация времени. PDC-эмулятор в корневом домене леса служит ведущим источником времени всего леса. Остальные контроллеры домена синхронизируют время с PDC-эмулятором, а клиентские компьютеры – со своими контроллерами доменов. Гарантию за соответствие времени несёт иерархическая служба синхронизации, которая реализована в службе Win32Time.
«Active Directory – пользователи и компьютеры»Ntdsutil.exefSMORoleOwner
Где скачать и как установить
Вначале нужно выполнить установку RSAT на свой ПК. По умолчанию этот инструмент в Win 10 отсутствует. С помощью RSAT удастся дистанционно управлять объектами сети с использованием Диспетчера серверов. Этот сервис нельзя загрузить на ноутбук, работающий на основе Домашней или Стандартной версии. RSAT разрешается скачивать на мощные ПК, имеющие Профессиональную или Корпоративную редакцию Win 10.
Как самостоятельно скачать RSAT:
зайти на сайт «Майкрософт»;
- найти «Remote Server Administration Tools» (для конкретной редакции Win 10);
- выбрать пакет, соответствующий конкретной разрядности (х64 или х86);
- нажать на Download;
- добавить RSAT на свой ПК;
- в ходе установки активировать инсталляцию сопутствующих обновлений;
- в конце перезапустить ПК.
Завершив скачивание RSAT, рекомендуется выполнить активацию этого средства на своем ПК:
- вызвать Control Panel;
- отыскать подпункт «Programs and Features»;
кликнуть по «Turn Windows features on or off»;
- появится окошко «Win Feature»;
- отыскать «Remote Server Administration Tools»;
- раскрыть ветку;
- найти «Role Administration Tools»;
- пометить птичкой «AD DS and AD LDS Tools» и другие строчки в этой ветке (должны быть активными по умолчанию);
- выделить «AD DS Tools» и нажать на «ОК».
Установку ADUC удастся выполнить из «Командной строчки с помощью таких команд:
- «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD»;
- «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS»;
- «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS-SnapIns».
Важно! После скачивания инструментов нужно вызвать Панель управления и зайти в подпункт «Administrative Tools». Там должна появиться новая опция под названием «Active Directory Users and Computers»
После появления этого инструмента разрешается подсоединиться к контроллеру. Выполнить это действие пользователь сможет самостоятельно.
Установка и настройка Active Directory
Теперь перейдем непосредственно к настройке Active Directory на примере Windows Server 2008 (на других версиях процедура идентична):
- Первым делом нужно присвоить статический IP компьютеру с установленным Windows Server Нужно перейти в меню “Пуск” — “Панель управления”, найти пункт “Сетевые подключения”, кликнуть правой кнопкой мыши (ПКМ) по имеющемуся подключению к сети и выбрать “Свойства”.
- В открывшемся окне выбрать “Протокол Интернета версии 4” и снова кликнуть на “Свойства”.
- Заполнить поля следующим образом: IP-адрес – 192.168.1.5. DNS – 127.0.0.1.
Нажать на кнопку “ОК”. Стоит заметить, что подобные значения не обязательны. Можно использовать IP адрес и DNS из своей сети.
- Далее нужно зайти в меню “Пуск”, выбрать “Администрирование” и “Диспетчер сервера”.
- Перейти к пункту “Роли”, выбрать поле “Добавить роли”.
- Выбрать пункт “Доменные службы Active Directory” дважды нажать “Далее”, а после “Установить”.
- Дождаться окончания установки.
- Открыть меню “Пуск”-“Выполнить”. В поле ввести dcpromo.exe.
- Кликнуть “Далее”.
- Выбрать пункт “Создать новый домен в новом лесу” и снова нажать “Далее”.
- В следующем окне ввести название, нажать “Далее”.
- Выбрать режим совместимости (Windows Server 2008).
- В следующем окне оставить все по умолчанию.
- Запустится окно конфигурацииDNS. Поскольку на сервере он не использовался до этого, делегирование создано не было.
- Выбрать директорию для установки.
- После этого шага нужно задать пароль администрирования.
Для надежности пароль должен соответствовать таким требованиям:
- Содержать цифры.
- При желании, содержать спецсимволы.
- Включать в себя прописные и заглавные буквы латинского алфавита.
После того как AD завершит процесс настройки компонентов, необходимо перезагрузить сервер.
- Следующий шаг – настройкаDHCP. Для этого нужно снова зайти в “Диспетчер сервера”, нажать “Добавить роль”. Выбрать пункт “DHCP-сервер”. Система начнет поиск активных сетевых адаптеров и произойдет автоматическое добавление IP-адресов.
- Прописать статический адрес.
- Указать адрес DNS.
- Далее, выбрать “WINS не требуется”.
- Настроить DHCP.
- Если IPv6 не используется, отключить ее.
- Далее, выбрать учетную запись, с которой будет происходить управление. Нажать на кнопку “Установить”, дождаться завершения конфигурации.
Настройка завершена, оснастка и роль установлены в систему. Установить AD можно только на Windows семейства Server, обычные версии, например 7 или 10, могут позволить установить только консоль управления.
Active Directory — что это простыми словами
Active Directory — это очень удобный способ системного управления. С помощью Active Directory можно эффективно управлять данными.
Указанные службы позволяют создать единую базу данных под управлением контроллеров домена. Если вы владеете предприятием, руководите офисом, в общем, контролируете деятельность множества людей, которых нужно объединить, вам пригодится такой домен.
В него включаются все объекты — компьютеры, принтеры, факсы, учётные записи пользователей и прочее. Сумма доменов, на которых расположены данные, именуется «лесом». База Active Directory — это доменная среда, где количество объектов может составлять до 2 миллиардов. Представляете эти масштабы?
То есть, при помощи такого «леса» или базы данных можно соединить большое количество сотрудников и оборудования в офисе, причём без привязки к месту — в службах могут быть соединены и другие юзеры, например, из офиса компании в другом городе.
Кроме того, в рамках служб Active Directory создаются и объединяются несколько доменов — чем больше компания, тем больше средств необходимо для контроля её техники в рамках базы данных.
Далее, при создании такой сети определяется один контролирующий домен, и даже при последующем наличии других доменов первоначальный по-прежнему остаётся «родительским» — то есть только он имеет полный доступ к управлению информацией.
Где хранятся эти данные, и чем обеспечивается существование доменов? Чтобы создать Active Directory, используются контроллеры. Обычно их ставится два — если с одним что-то произойдёт, информация будет сохранена на втором контроллере.
Ещё один вариант использования базы — если, например, ваша компания сотрудничает с другой, и вам предстоит выполнить общий проект. В таком случае может потребоваться доступ посторонних личностей к файлам домена, и здесь можно настроить своего рода «отношения» между двумя разными «лесами», открыть доступ к требуемой информации, не рискуя безопасностью остальных данных.
В общем, Active Directory является средством для создания базы данных в рамках определённой структуры, независимо от её размеров. Пользователи и вся техника объединяются в один «лес», создаются домены, которые размещаются на контроллерах.
Ещё целесообразно уточнить — работа служб возможна исключительно на устройствах с серверными системами Windows. Помимо этого, на контроллерах создаётся 3-4 сервера DNS. Они обслуживают основную зону домена, а в случае, когда один из них выходит из строя, его заменяют прочие серверы.
После краткого обзора Active Directory для чайников, вас закономерно интересует вопрос — зачем менять локальную группу на целую базу данных? Естественно, здесь поле возможностей в разы шире, а чтобы выяснить другие отличия данных служб для системного управления, давайте детальнее рассмотрим их преимущества.
Форматы
Медийная реклама в Интернете представлена в различных формах, разнообразие которых позволяет подобрать наиболее эффективный инструмент для решения конкретных задач и под особенности целевой аудитории.
Баннеры
Медийную баннерную рекламу можно назвать наиболее распространенным и традиционным решением.
Существуют следующие разновидности баннеров.
- Стандартные, располагающиеся в отдельных блоках на странице и имеющие фиксированный размер (240 × 400, 72 8 × 90, 160 × 600 и др.). Могут быть статичными или с эффектами.
- Ричмедиа, которые сопровождаются анимацией, музыкой, имеют интерактивные элементы. Используют технологию flash.
- Поп-андеры – рекламные предложения, которые открываются на новой странице при клике на баннер, всплывающий над основным контентом. Часто вызывают негативную реакцию у аудитории, а сайты, размещающие такие промоматериалы, могут ранжироваться в Яндексе ниже.
- Растяжки – блоки, размещающиеся по всей ширине окна браузера, подстраиваются под его размеры при изменении. Располагаются, как правило, вверху страницы.
- Имитации, представляющие собой всплывающие внизу страницы тизеры, по внешнему виду и размеру схожие с сообщениями на сайтах интернет-знакомств, в соцсетях и т. д. Часто сопровождаются звуком.
Баннеры могут не показываться из-за установленного в браузере блокировщика рекламы, что необходимо учитывать.
Также существует явление баннерной слепоты: люди не замечают баннеры из-за их большого обилия всегда и везде, поэтому создание креативов требует тщательной проработки.
Яндекс предлагает размещение графического баннера не только на сайтах-партнерах и собственных проектах, но и в правом блоке органической выдачи по какому-либо запросу.
Такая контекстно-медийная реклама достаточно заметна.
Видео
Это относительно новый вид медийной рекламы, появившийся из-за взрывного роста популярности видеоконтента.
В зависимости от места расположения существуют следующие варианты.
- Преролл – ролик, просмотр которого активируется до загрузки основного видео. Наиболее распространенный вариант. Иногда его можно отключить после нескольких секунд просмотра, не досматривая до конца.
- Мидролл демонстрируется в середине. Достаточно редкий тип.
- Постролл – видеореклама в конце основного ролика.
- Оверлей – это баннер, как правило, небольшой и горизонтально ориентированный, показывающийся поверх видеоконтента, чаще всего внизу. Его можно закрыть.
Рекламные ролики в видеоформате, как правило, гораздо меньше по длительности, чем аналоги по телевидению. Сопровождаются ссылкой на рекламируемый сайт.
Аудио
Аудиоролики – достаточно редкий формат медийной рекламы в Интернете. Такое размещение можно встретить в сервисах Яндекса: в Яндекс.Музыке и Яндекс.Радио. Небольшое по продолжительности рекламное сообщение воспроизводится между музыкальными треками.
Брендирование
При этом способе вся площадка или какая-то ее часть оформляется в соответствии с брендом рекламодателя.
Чаще всего для этой цели используется подложка (задний фон), но могут брендироваться другие элементы, например изменяться курсор.
Все это не скрывается блокировщиком, а площадки выбираются наиболее популярные, что отражается на стоимости.
Преимущества Active Directory
Плюсы Active Directory следующие:
- Использование одного ресурса для аутентификации. При таком раскладе вам нужно на каждом ПК добавить все учётные записи, требующие доступ к общей информации. Чем больше юзеров и техники, тем сложнее синхронизировать между ними эти данные.
Далее, чтобы изменить пароль на одной учётной записи, для этого необходимо менять его на остальных ПК и серверах. Логично, что при большем количестве пользователей требуется более продуманное решение.
И вот, при использовании служб с базой данных учётные записи хранятся в одной точке, а изменения вступают в силу сразу же на всех компьютерах.
Как это работает? Каждый сотрудник, приходя в офис, запускает систему и выполняет вход в свою учётную запись. Запрос на вход будет автоматически подаваться к серверу, и аутентификация будет происходить через него.
Что касается определённого порядка в ведении записей, вы всегда можете поделить юзеров на группы — «Отдел кадров» или «Бухгалтерия».
Ещё проще в таком случае предоставлять доступ к информации — если нужно открыть папку для работников из одного отдела, вы делаете это через базу данных. Они вместе получают доступ к требуемой папке с данными, при этом для остальных документы так и остаются закрытыми.
- Контроль над каждым участником базы данных.
Если в локальной группе каждый участник независим, его трудно контролировать с другого компьютера, то в доменах можно установить определённые правила, соответствующие политике компании.
Вы как системный администратор можете задать настройки доступа и параметры безопасности, а после применить их для каждой группы пользователей. Естественно, в зависимости от иерархии, одним группам можно определить более жёсткие настройки, другим предоставить доступ к иным файлам и действиям в системе.
Кроме того, когда в компанию попадает новый человек, его компьютер сразу же получит нужный набор настроек, где включены компоненты для работы.
- Универсальность в установке программного обеспечения.
Кстати, о компонентах — при помощи Active Directory вы можете назначать принтеры, устанавливать необходимые программы сразу же всем сотрудникам, задавать параметры конфиденциальности. В общем, создание базы данных позволит существенно оптимизировать работу, следить за безопасностью и объединить юзеров для максимальной эффективности работы.
А если на фирме эксплуатируется отдельная утилита или специальные службы, их можно синхронизировать с доменами и упростить к ним доступ. Каким образом? Если объединить все продукты, использующиеся в компании, сотруднику не нужно будет вводить разные логины и пароли для входа в каждую программу — эти сведения будут общими.
Теперь, когда становятся понятными преимущества и смысл использования Active Directory, давайте рассмотрим процесс установки указанных служб.
Очистка ресурсовClean up resources
Если вы не собираетесь использовать это приложение в дальнейшем, можно удалить клиент, выполнив следующие действия:If you’re not going to continue to use this application, you can delete the tenant using the following steps:
-
Войдите в каталог, который нужно удалить, с помощью фильтра Каталог и подписка на портале Azure и при необходимости переключитесь на целевой каталог.Ensure that you are signed in to the directory that you want to delete through the Directory + subscription filter in the Azure portal, and switching to the target directory if needed.
-
Выберите Azure Active Directory, а затем на странице Contoso — обзор выберите Удалить каталог.Select Azure Active Directory, and then on the Contoso — Overview page, select Delete directory.
Клиент и связанные с ним данные будут удалены.The tenant and its associated information is deleted.
Типы групп Active Directory
В AD существует два типа групп:
- Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.
- Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.
Совет. Несмотря на то, группе безопасности можно также можно присвоить почтовые атрибуты и выполнять на нее почтовые рассылки, делать это не рекомендуется.
Для каждого типа группы существует три области действия:
- Локальная в домене — используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.
- Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.
- Универсальная группа — рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.
Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.
Общее
C помощью службы Active Directory создаются учетные записи компьютеров, проводится подключение их к домену, производится управление компьютерами, контроллерами домена и организационными подразделениями (ОП).
Для управления Active Directory предназначены средства администрирования и поддержки. Перечисленные ниже инструменты реализованы и виде оснасток консоли ММС (Microsoft Management Console):
- Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет управлять пользователями, группами, компьютерами и организационными подразделениями (ОП);
- Active Directory — домены и доверие (Active Directory Domains and Trusts) служит для работы с доменами, деревьями доменов и лесами доменов;
- Active Directory — сайты и службы (Active Directory Sites and Services) позволяет управлять сайтами и подсетями;
- Результирующая политика (Resultant Set of Policy) используется для просмотра текущей политики пользователя или системы и для планирования изменений в политике.
В Microsoft Windows 2003 Server можно получить доступ к этим оснасткам напрямую из меню Администрирование (Administrative Tools).
Еще одно средство администрирования — оснастка СхемаActive Directory (Active Directory Schema) — позволяет управлять и модифицировать схему каталога.
Функции и предназначения
Microsoft Active Directory – (так называемый каталог) пакет средств, позволяющий проводить манипуляции с пользователями и данными сети. Основная цель создания – облегчение работы системных администраторов в обширных сетях.
Каталоги содержат в себе разную информацию, относящуюся к юзерам, группам, устройствам сети, файловым ресурсам — одним словом, объектам. Например, атрибуты пользователя, которые хранятся в каталоге должны быть следующими: адрес, логин, пароль, номер мобильного телефона и т.д. Каталог используется в качестве точки аутентификации, с помощью которой можно узнать нужную информацию о пользователе.
Как можно определить, какой контроллер домена обладает ролью FSMO
Определение обладателей ролей мастеров операций средствами GUI
- Выполните вход на контроллер домена под учётной записью, обладающей правами администратора;
- Откройте диалоговое окно «Выполнить» и зарегистрируйте динамическую библиотеку оснастки «Схема Active Directory» при помощи команды regsvr32.exe schmmgmt;
- Затем откройте окно консоли управления MMC и вызовите диалог добавления новой оснастки. В списке оснасток выберите «Схема Active Directory», как показано на следующей иллюстрации:Рис. 1. Добавление оснастки «Схема Active Directory»
- В открытой оснастке «Схема Active Directory» нажмите правой кнопкой мыши на корневом узле оснастки и из контекстного меню выберите команду «Хозяин операций», как показано ниже:Рис. 2. Мастер операций схемы
- Открыть окно оснастки «Active Directory – домены и доверие»;
- Щёлкнуть правой кнопкой мыши на корневом узле оснастки и из контекстного меню выбрать команду «Хозяин операций», как изображено на следующей иллюстрации:Рис. 3. Мастер операций именования доменов
«Active Directory – пользователи и компьютеры»«Хозяева операций»«Хозяева операций»Рис. 4. Хозяева операций для уровня домена
Определение обладателей ролей мастеров операций средствами командной строки
Ntdsutil
- Откройте окно командной строки;
- Выполните команду Ntdsutil;
- Перейдите к маркерам владельца управления ролью NTDS при помощи ввода команды roles;
- На этом шаге вам нужно подключить определённый контроллер домена Active Dirctory. Для этого выполните команду connections;
- В строке «server connections» введите connect to server, укажите в этой же строке имя сервера и нажмите на клавишу «Enter»;
- Перейдите обратно к fsmo management, используя команду quit;
- Выполните команду «Select operation target», предназначенную для выбора сайтов, серверов, доменов, ролей или контекстов именования;
- Теперь вы можете просмотреть список ролей, известных подключённому серверу при помощи команды List roles for connected server, как показано на следующей иллюстрации:Рис. 5. Определение мастеров операций средствами командной строки
Dcdiag/test:Knowsofroleholders /vРис. 6. Определение FSMO-ролей средствами утилиты Dcdiag
Редактирование атрибутов Active Directory в Центр администрирования Active Directory
Третий метод просмотра атрибутов у объектов AD, заключается в использовании оснастки «Центр администрирования Active Directory» (Active Directory Administrative Center). Открываем его через пуск или набрав команду в окне «Выполнить» dsac.exe.
Если кто-то не в курсе, то Центр администрирования Active Directory – это оснастка построенная на оболочке power shell, все что вы тут выполняете, делается в фоновом режиме именно этим языком, плюс вы всегда на выходе графических манипуляций, получите полную команду, как это делалось бы в power shell. Переходим в нужное расположение объекта.
Открываем его свойства, переходим на вкладку «Расширения» и перед вами будет, знакомый редактор атрибутов AD. Вот так вот его запрятали. Хочу отметить, что начиная с Windows Server 2012 R2, компания Microsoft старается продвигать все работы с объектами Active Directory именно в этой утилите и оснастке power shell и это понятно, у последнего возможностей в разы больше, чем у GUI собратьев. Поэтому, кто еще пока с ним не знаком, будет очень полезно начать именно с оснастки «Центр администрирования Active Directory», которая имеет подсказки, как все сделать через оболочку power shell.
Компоненты GPO
Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.
Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.
Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.
Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.