Как добавить локального пользователя в windows server

Подробная инструкция по добавлению нового пользователя, а также назначению ему определенных прав в операционных системах семейства Microsoft Windows Server.

В обязанности системного администратора помимо всего прочего входит и добавление нового пользователя, а также назначение ему определенных прав. Рассмотрим как это сделать в операционных системах семейства Microsoft Windows Server. Данный способ универсален для большинства существующих версий данной ОС. Возможны некоторые фразеологические отличия.

В меню Пуск, выбираем Администрирование (“Средства администрирования” в Windows Server 2016).

25_1

В новом окне двойным кликом мыши открываем “Управление компьютером”.

86_2

В левой части открывшегося окна раскрываем ветку “Локальные пользователи и группы” и открываем папку Пользователи. В основной части окна, кликаем правой кнопкой мыши по свободному месту и в контекстном меню выбираем “Новый пользователь”.

32_3

В новом окне вводим логин пользователя, пароль и подтверждение пароля. Для полноты понимания какому пользователю принадлежит учетная запись, а также чтобы у коллег не возникало вопросов рекомендуется заполнять поля “Полное имя” и “Описание”.

Для повышения безопасности рекомендуется установить галку “Требовать смены пароля при следующем входе в систему” только в том случае, если вы используете один и тот же пароль для всех создаваемых учетных записей.

Отключение учетной записи допустимо, например, если пользователь только заступает в должность.

Кликаем по кнопке Создать.

43_5

Учетная запись создана. Перейдем к ее настройке. Для этого все в том же окне “Управление компьютером” кликаем по учетной записи правой кнопкой мыши. В контекстном меню выбираем Свойства.

10_6

Настройки учетной записи пользователя, для удобства, представлены на нескольких вкладках.

15_7

Общие — управляет базовыми параметрами учетной записи.

Членство в группах — позволяет задать пользователю членство в группах.

Профиль — на этой вкладке определяется расположение пользовательского домашнего каталога, путь к профилю пользователя, а также сценарий для входа.

Среда — дает возможность назначить запуск определенной программы при входе в систему, а также разрешает подключение жестких дисков, принтеров и выбор принтера по умолчанию при входе.

Сеансы — позволяет накладывать ограничения на общую длительность сеанса, на время бездействия и многое другое.

Профиль служб удаленных рабочих столов — задает профиль пользователя, который будет загружен при входе на сервер средствами удаленного рабочего стола.

Входящие звонки — определяет параметры сетевых соединений, а также их права.

Рассмотрим делегирование прав пользователю на доступ к удаленному рабочему столу.

Выбираем вкладку Членство в группах и кликаем по кнопке Добавить.

65_8

В открывшемся окне кликаем по кнопке Дополнительно. Затем в новом окне кликаем по кнопке Поиск. Внизу окна отобразятся все доступные группы. Выбираем Пользователи удаленного рабочего стола двойным кликом или одиночным с последующим нажатием на кнопку ОК.

1_9

Окно Выбор: “Группы” изменит внешний вид. Нажимаем кнопку ОК.

38_10

Теперь под учетными данными этого пользователя можно подключиться к серверу.

92_11

Аverage rating : 5

Оценок: 1

220140
Минск
ул. Домбровская, д. 9

+375 (173) 88-72-49

700
300

ООО «ИТГЛОБАЛКОМ БЕЛ»

220140
Минск
ул. Домбровская, д. 9

+375 (173) 88-72-49

700
300

ООО «ИТГЛОБАЛКОМ БЕЛ»

700
300

После установки Windows Server на VDS вам доступна только одна учётная запись — Administrator. Однако во многих случаях сервер нужен для работы нескольких человек — причём одновременной. В таких случаях в систему необходимо добавлять дополнительных пользователей — при условии, что у вас уже настроен терминальный сервер и подключено требуемое количество RDP-лицензий.

  • Добавление учётной записи в Windows Server 2016
  • Добавление учётной записи в Windows Server 2019
  • Зачем нужны RDP-лицензии и где их взять

Для начала подключитесь к вашему серверу по RDP под пользователем Administrator. Если сервер только приобретён, для удобства работы можно сразу включить русский язык в настройках:

  • Как добавить русский язык в Windows Server 2016
  • Как добавить русский язык в Windows Server 2019

Добавление учётной записи в Windows Server 2016

В Windows Server 2016 в панель управления можно перейти из контекстного меню при клике правой кнопкой мыши по меню «Пуск»

В панели управления в разделе «Учётные записи пользователей» нажмите «Изменение типа учётной записи». Откроется список пользователей вашего сервера. Здесь выберите опцию «Добавить учётную запись пользователя»:

Запустится мастер создания пользователей. Введите логин, пароль, подтверждение пароля, подсказку и нажмите «Далее».

Система добавит новую учётную запись и отобразит её данные — имя и уровень прав. Для завершения настройки нажмите «Готово»:

После этого в списке пользователей появится новая учётная запись. 

При необходимости вы можете изменить тип созданного пользователя — дать ему права администратора. Для этого кликните на карточку учётной записи — откроется окно настройки:

В меню слева выберите «Изменение типа учётной записи» — система предложит настроить уровень доступа:

Укажите требуемый уровень прав и нажмите «Изменение типа учётной записи» для вступления настроек в силу.

На этом процесс создания пользователя на Windows Server 2016 завершён. Чтобы новый пользователь мог подключиться к серверу по RDP, ему потребуются следующие данные:

  • IP-адрес вашего сервера / домен;
  • логин пользователя;
  • пароль пользователя.

Добавление учётной записи в Windows Server 2019

Алгоритм создания пользователей на Windows Server 2019 немного отличается. После подключения к серверу откройте меню «Пуск» и перейдите в раздел «Параметры».

В панели управления выберите раздел «Учётные записи».

Система перенаправит вас на страницу с данными текущего пользователя. В меню слева перейдите в раздел «Другие пользователи» и нажмите «Добавить пользователя для этого компьютера»

Запустится оснастка настройки локальных пользователей и групп. Выберите раздел «Пользователи» и в блоке «Действия» в соответствующем подразделе справа перейдите в меню «Дополнительные действия»«Новый пользователь...»:

Система предложит ввести данные нового пользователя: логин, имя для отображения в системе, описание и пароль с подтверждением. После заполнения данных нажмите «Создать». Поля в форме сбросятся к пустому состоянию — при отсутствии ошибок это означает, что новый пользователь успешно добавлен. 

После добавления нужного количества пользователей нажмите «Закрыть» — вы вернётесь к списку пользователей, где появятся созданные учётные записи.

По умолчанию новые учётные записи создаются со стандартным уровнем прав. Если вы хотите предоставить новому пользователю права администратора, вернитесь в ПараметрыУчётные записиДругие пользователи. Выберите созданного пользователя и нажмите «Изменить тип учётной записи».

В окне настройки выберите в списке «Тип учётной записи» уровень прав и нажмите «ОК»

На этом процесс добавления пользователя завершён. Чтобы новый пользователь мог подключиться к серверу по RDP, ему потребуются следующие данные:

  • IP-адрес вашего сервера / домен;
  • логин пользователя;
  • пароль пользователя.

Зачем нужны RDP-лицензии и где их взять

По умолчанию в Windows Server одновременно могут работать только два пользователя уровня Administrator. Для совместной работы большего числа пользователей к серверу нужно подключить RDP-лицензии — по одной на каждого дополнительного пользователя. Их можно приобрести в Личном кабинете: для этого откройте раздел ТоварыВиртуальные серверы, выберите ваш сервер в списке, сверху «Изменить».

В списке настроек услуги в блоке «Дополнительно» измените значение поля «Количество RDP-лицензий» и нажмите «В корзину». Стоимость одной RDP-лицензии составляет 430 ₽ в месяц. После активации лицензия включается в стоимость сервера и автоматически продлевается вместе с ним.

После оплаты в течение получаса к серверу подключится наш системный администратор для активации лицензий и настройки терминального сервера.

Этот материал был полезен?

Главная / Поддержка / Частые вопросы / Как добавить пользователя в Windows Server

Связанные услуги:

Купить виртуальный сервер c Windows от 325 рублей в месяц


Виртуальный сервер на Windows

Для добавления нового пользователя в Windows Server (услуга виртуального сервера Hyper-V  нужно:

  1. Зайти в Диспетчер серверов, его можно найти рядом с кнопкой Пуск. В верхнем меню выбрать “Средства” — “Управление компьютером”. добавление нового пользователя в windows

  2. В левом меню выбрать “Локальные пользователи” — “Пользователи”. В верхнем меню выберите “Действие” — “Новый пользователь”. настройка vps windows под нового пользователя

  3. Открывается окно добавления нового пользователя. В поле “Пользователь” вписывайте логин, далее 2 раза пароль для пользователя и нажмите “Создать”. настройки логина и пароля нового пользователя

  4. Всё. Новый пользователь в Windows Server создан. новый пользователей добавлен в windows server

Вас заинтересовали наши услуги, но есть вопросы?
Наши специалисты готовы ответить на них и найти подходящее решение именно для Вас!

CAPTCHA

Ваш запрос отправлен!

Содержание

Создание и управление учетными записями пользователей
Создание локальных учетных записей пользователей
Создание доменных учетных записей пользователей
Установка свойств локальной учетной записи пользователя
Установка свойств доменной учетной записи пользователя
Управление группами
Локальные группы
Группы Active Directory
Задачи администрирования, выполняемые в понедельник утром
Забытые пароли
Заблокированные пользователи
Использование новых средств для управления пользователями и группами
Центр администрирования Active Directory
Основные элементы ADAC
Навигация в ADAC
Просмотр хронологии Power Shell
Модуль Active Directory для Windows Power Shell
Создание пользователей
Установка паролей
Создание множества пользователей за раз
Разблокирование учетной записи пользователя
Включение учетной записи
Отключение учетной записи
Удаление группы

Вероятно, одной из наиболее распространенных задач, которые администратор
будет делать, причем не только во время развертывания, но также на протяже­
нии существования среды Windows Server, является создание и управление учетными записями пользователей. Это звучит как довольно простая задача, однако она очень важна по причинам, связанным с управлением временем и с возможными последс­твиями в отношении безопасности. Администраторы сервера или консультанты должны хорошо понимать процесс. Им может показаться, что допустимо его про­игнорировать, поскольку в обычной своей деятельности администраторы сервера или консультанты не создают учетные записи пользователей. Это может быть и так, но они, как правило, являются теми людьми, которые отвечают за создание пер­вых пользователей в новой сети, определение процессов и передачу операции дру­гой бригаде, отделу либо их потребителям. Те же самые старшие сотрудники также должны иметь возможность создания и управления учетными записями для служб и приложений на своих серверах, следуя передовому опыту.
Мы раскроем основы создания и управления учетными записями пользователей,
поэтому любому специалисту найдется, что почерпнуть из этой главы. В любой си­туации, когда доступен только PowerShel, эта глава послужит источником знаний о том, как справиться с подобной ситуацией. Мы покажем, каким образом создавать и управлять учетными записями пользователей из командной строки и PowerShel.
Переживать не стоит. В предшествующих главах вы уже видели, что клавиатурные
альтернативы иногда позволяют сберечь немало времени и усилий, и в данной ситу­ации тенденция остается неизменной.
Мы обсудим распространенные свойства и настройки, которые можно конфигу­
рировать для учетных записей пользователей. Мы также рассмотрим группы, при­чины их использования, методы добавления/удаления пользователей в/из групп, а также рекомендуемые приемы назначения членства в группах. Мы раскроем все
эти темы в трех средах: автономная машина Windows Server, установка Server Core и Active Directory.

Мы продемонстрируем опции Windows Server 2012, большая часть которых иден­
тична опциям Windows Server 2008 R2. В Windows Server 2012 доступен ряд новых приемов в форме новой задачи и управляющего инструмента на основе PowerSheI, который называется центром администрирования Active Directory (Active Directory
Administrative Center) и полностью построен поверх PowerSheI. Было добавлено на­много больше модулей Active Directory для управления посредством инструмента PowerSheI, ero процессора командной строки и языка сценариев. Эти темы будут рассмотрены в конце главы. Мы уверены, что после чтения этой главы вы поймете значимость данных инструментов в плане экономии времени.
В этой главе вы изучите следующие темы:
• управление пользователями и группами;
• использование Active Directory Administrative Center в Windows Server 2012;
• управление пользователями и группами с помощью PowerShell.
СОВМЕСТИМОСТЬ С WINDOWS SERVER 2012 (R2)
Примите во внимание, что когда мы упоминаем Wmdows Server 2012, то имеем в виду также и Wmdows Server 2012 R2; все возможности применимы к обеим версиям.

Создание и управление учетными записями пользователей

В этом разделе будет показано, как создавать, управлять и удалять локальные
и доменные учетные записи пользователей. Вы узнаете, как выполнять указанные
задачи с применением инструментов администрирования с графическим пользова­
тельским интерфейсом, командной строки и PowerShell, хотя вы должны осознавать,что инструменты командной строки скоро, по всей видимости, выйдут из употреб­ления.
В Microsoft собираются усиленно продвигать PowerShell.
Рабочая среда для этой главы содержит контроллер домена по имени
DCO l . Ьigf i rт . сот и сервер-член под названием ServerOl . Ьigfirт . сот. Такая среда позволит продемонстрировать методы создания и управления локальными и доменными учетными записями пользователей.

Создание локальных учетных записей пользователей

Первыми мы рассмотрим способы создания локальных учетных записей пользователей. Для управления локальными учетными записями пользователей предусмот­рен один главный инструмент — Computer Management (Управление компьютером), который можно открыть из диспетчера серверов, выбрав в меню Tools (Сервис) пункт Computer Management (Управление компьютером). Этот инструмент предо­ставляет все те же самые опции, что и при управлении пользователями и группами в Windows Server 2008 R2.
Для целей нашего примера войдите в систему на сервере ServerOl . Ьigfirm. com в качестве администратора, откройте окно Computer Management и раскройте папку Local Users and Groups Users (Локальные пользователи и группы Пользова­ тели), как показано на рис. 8.1.

Вы должны видеть две существующих учетных записи пользователей.
• Administrator (Администратор). Это стандартная учетная запись пользователя­
администратора. Ниже она будет обсуждаться более подробно.
• Guest (Гость). Назначение этой учетной записи — позволить людям, не имею­
щим действительной учетной записи пользователя, войти в систему локально­
го компьютера. Такая учетная запись может понадобиться администратору при
наличии многочисленных приходящих и уходящих пользователей.
Рис. 8.1 . Локальные пользователи в окне Computer Maпagement
Вы заметите, что на значке учетной записи Guest имеется изображение неболь­
шой стрелки, указывающей вниз. Причина в том, что согласно рекомендуемым
приемам эта учетная запись должна быть отключена и это делается по умолчанию.
Наличие учетной записи Guest не является распространенным требованием на сер­вере, поэтому необходимость в ее включении может никогда и не возникнуть.

УЧЕТНАЯ ЗАПИСЬ Admi.nistrator
Критически важно ·защитить учетную запись Administrator подходящим для орга­
низации способом. Локальная учетная запись Administrator имеет полный кон­
троль над сервером, а доменная учетная запись Administrator — над всей сетью!
Таким образом, для них должны быть выбраны очень строгие пароли.
В крупных организациях Administrator представляет собой анонимную учетную
запись. Загляните в журналы безопасности с помощью программы просмотра собы­тий (Eveнt Yiewer) и задайте себе вопрос: «Как узнать, кто сделал данное действие, используя учетную запись Administrator?» Именно поэтому вы должны создать учетную запись пользователя с подходящими административными или делегирован­ными правами для любого администратора, который в них нуждается. Применение стандартной учетной записи Administrator часто запрещено, если только не воз­никла чрезвычайная ситуация. Чтобы обеспечить безошибочный аудит каждого со­трудника отдела IT в журнале безопасности, понадобится создать учетную запись пользователя Administrator для каждого администратора. Затем вы должны удос­товериться в том, что каждый администратор имеет только те права и разрешения,которые ему необходимы для выполнения своей работы.

В некоторых организациях принимают решение полностью отключить учетную за­пись Administrator. Такое решение нельзя назвать выдающимся, поскольку эта
учетная запись является великолепным «qерным входом» на случай блокировки па­ролей. Пользователь Administrator является таким, который блокировать нелыя.
Организации могли бы избрать альтернативный подход. Вы можете думать об этом как о «ядерной» опции. Вы наверняка видели фильмы, по сюжету которых два гене­рала должны ввести два разных ключа, qтобы запустить ракету с ядерной боеголов­кой. Неqто похожее вы можете сделать с паролем учетной записи Administrator.
Он может устанавливаться двумя разными особами или даже отделами, причем один вводит первую половину пароля, а другой — вторую половину. Организации, нужда­ющиеся в опции подобного рода, возможно, располагают отделом IТ-безопасности или внутреннего аудита, который владеет первой половиной пароля, в то время как бригаде администраторов сервера оставляется вторая половина.
Последняя опция предполагает переименование учетной записи Administrator.
По поводу этой опции ведутся споры, поскольку идентификатор безопасности
(security identifier (SID) — код, используемый Windows для уникальной идентификации
объекта) учетной записи может быть предсказан, раз вы имеете доступ к серверу или до­мену. Некоторые утверЖдают, qто переименовывать эту учетную запись нецелесообразно.
Однако большинство атак из Интернета в действительности роботизированы, а не интел­лектуальны. Они нацелены на типовые имена, такие как SA, root или Administrator,
и предпринимают атаки rрубой силой, пытаясь угадать пароль. Чтобы защититься от та­ких форм атак, учетную запись Administrator полезно переименовать.
В конечном счете, применимы те же самые старые правила безопасности.
Устанавливайте очень строгие пароли для учетных записей Administrator, сокра­щайте круг лиц, осведомленных о паролях, оrраниqивайте удаленный доступ, где только можно, и контролируйте физический доступ к своим серверам.
В рассматриваемом примере мы покажем, как создать учетную запись пользователя для нового сотрудника по имени S teve Red. В папке Local Users and GroupsUsers щелкните правой кнопкой мыши в цент­ральной панели и выберите в контекстном меню пункт New User (Создать пользователя).
Откроется диалоговое окно New User (Новый пользователь). Заполните сведения о поль­зователе в перечисленных ниже полях этого диалогового окна (рис. 8.2).
Рис. 8.2. Соэдание новой локальной
• User Name (Имя пользователя ) . В этом поле указывается имя, которое пользо­ватель будет вводить при входе в систему.
Мы настоятельно рекомендуем внедрить какой-то стандарт именоваучетной записи пользователяния. Организация меньшего размера может остановиться на имени SRed для
сотрудника по Steve Red. Вы можете решить воспользоваться какой-то число­
вой схемой, к примеру, SRedlSRed, SRedSRedOl или SRedlOSRed. Некоторые
организации предпринимают дальнейшие действия. Другие применяют в ка­честве имени пользователя идентификатор сотрудника компании. Еще одни организации используют инициалы персоны (включая отчество) вместе с чис­лом, к примеру, SMRedl О. Такие более анонимные системы могут оказаться подходящими, когда персональные данные считаются чувствительными.
• Full Name (Полное имя). В поле Full Name указывается имя особы, которая бу­дет пользоваться учетной записью. Вряд ли ны решите хранить такие имена на
серверах, видимых из Интернета.
• Password (Пароль). В поле Password необходимо установить пароль. Один из
наилучших способов установки пароля предусматривает применение кодовой
фразы (passphrase). За дополнительными сведениями о кодовых фразах обра­
щайтесь к учебному примеру далее в главе.
• User Must Change Password at Next Logon (Пользователь должен изменить па­
роль при следующем входе). В рассматриваемом примере мы оставляем этот фла­
жок отмеченным. Вы можете установить простой мя сообщения пароль вроде
»ваша новая кодовая фраза» 11 оставить флажок User Must Change Password at
Next Logon отмеченным (его состояние по умолчанию). Новый пользователь
получит возможность войти в систему, но будет обязан изменить свой пароль,
чтобы завершить процесс входа. Это гарантирует, что ни один из сотрудников
отдела 1Т не будет знать пароль пользователя. Вы заметите, что следующие два
флажка отображаются серым цветом и недоступны для использования. Они
станут доступными, если снять отметку с флажка User Must Change Password at
Next Logon. Указанные флажки противоположны по смыслу.
• User Cannot Change Password (Пользователь не может изменять пароль). Вы
можете принять решение предотвратить изменение пользователем пароля сво­
ей учетной записи. Такая ситуация может возникать при создании учетной за­
писи, которая будет применяться приложением или службой. Отметка этого
флажка лишает возможности изменить пароль программу или злоумышленни­
ка, атакующего программу.
• Password Never Expires (Срок действия пароля никогда не истекает). Отметка
флажка Password Never Expires приводит к переопределению любых политик
истечения срока действия паролей, которые могут быть установлены где-то
в другом месте, например, в локальной системе или в групповой политике.
Скорее всего, вы будете использовать эту опцию только для учетных записей
служб. Вряд ли вы захотите, чтобы служба наподобие SQL Server прекратила
работу по причине истечения срока действия пароля для ее учетной записи.
• Account ls DisaЫed (Учетная запись отключена). Данный флажок должен быть
вполне понятен. Когда он отмечен, созданную учетную запись применять не­
льзя. Это то, что было сделано с учетной записью пользователя Guest. Такое
действие также предпринимается при заблаговременном создании учетных
записей для пользователей и последующим их включением по мере того, как
пользователи действительно приступают к работе.
Вспомните, что установить простой для сообщения пароль можно только для
учетной записи пользователя, и это является тем действием, которое сотрудники
отдела IT выполняют на регулярной основе. Данная опция защитит такую уч:етную запись от неавторизованного использования до тех пор, пока сотрудник не начнет работать с ней и изменит пароль по своему усмотрению.
Щелчок на кнопке Create (Создать) приведет к созданию пользователя SRed и
очистке полей в диалоговом окне New User. Это позволяет быстро добавить дополни­тельных пользователей, не выбирая снова пункты меню. После создания пользовате­ля щелкните на кнопке Close (Закрыть), чтобы закрыть диалоговое окно New User.
Как показано на рис. 8.3, пользователь теперь создан, и можно продолжить рабо­
ту с этой учетной записью, чтобы ее использовать в дальнейшем.

Эта команда создает пользователя на локальном компьютере. По большому счету
она ничего другого не делает. Остальные опции, о которых шла речь выше, не ис­
пользуются. Если пароль длиннее 14 символов, будет выдано сообщение о том, что
пароли такой длины могут вызвать проблемы в унаследованных системах Windows,
и предложено подтвердить свой выбор. Если в пароль необходимо добавить пробе­лы, его придется поместить в двойные кавычки, например:
net user SRED «Му dOg is yellow» /A9D
Чтобы полностью воссоздать то, что вы делали в окне Computer Management, до­
бавьте к команде несколько опций:
net user SRed SkyisЫue2013 /fullname : «Steve Red»
/cornrnent : «Manager e>f the server team» /logonpasswordchg : yes /add
Далее приведены краткие описания всех опций.
• /fullname. Назначает учетной записи пользователя имя для будущих ссылок
на него.
• /comment. Заполняет поле Descriptioп (Описание) в окне свойств учетной запи­
си пользователя.
• /logonpasswordchg:yes. Заставляет пользователя изменить свой пароль при
первом входе в систему сервера.
• Н иже перечислено несколько других опций, которые встречались в окне
Computer Management.
• /passwordchg. Устанавливается в yes или no дпя указания, может ли пользо­
ватель изменять свой пароль.
• /expires. Устанавливается либо в какую-то дату (в формате мм/дд/гг [гг] ) ,
либо в NEVER.
• /active. Включает и.ли отключает учетную запись.
Чтобы получить дополнительную информацию о друтих опциях, введите команду
net help user. Не попадитесь в ловушку, введя вместо этого команду net user /?.
Там вы найдете мало сведений.

Создание доменных учетных записей пользователей

Давайте возвратимся к тому, по какой причине вы можете отдать предпочтение
доменным учетным записям пользователей перед локальными учетными записями.
Получается так, что пользователю Steve Red нужна возможность входа в системы
многих серверов в сети, а не только в данный автономный сервер. Этот пользова­
тель собирается работать с множеством служб, и ему необходим механизм единого
входа. Администраторы также хотят настроить только одну учетную запись пользо­
вателя и располагать возможностью выдать права лишь одной этой учетной записи.
Пользователь Steve Red желает иметь только одну учетную запись и один пароль.
Решение выглядит простым — создать доменную учетную запись пользователя.
Чтобы сделать это, войдите в систему контроллера домена (в рассматриваемом
примере это DCOl . Ьigfirm . com) и откройте инструмент Active Directory Users and
Computers (Пользователи и компьютеры Active Directory), который находится в пап­ке Administrative Tools (Администрирование) на любом контроллере домена. С по­мошью бесплатно загружаемых инструментов дистанционного администрирования серверов (Remote Server Administration Tools) можно установить этот и другие инс­трументы управления серверами на компьютере Windows 8, чтобы проводить из негодистанционное управление.

РАЗДЕЛЕНИЕ АДМИНИСТРАТОРОВ
Одним из решений, которые администраторы Windows не спешат принимать, явля­
ется концепция разделения ролей на офисных сотрудников и сетевых администрато­
ров. Администраторы Unix делали это десятилетиями, просто применяя команду su.
Другими словами, они входили в сеть от имени рядовой учетной записи с нормаль­
ными правами пользователя и поднимали привилегии до более высокой учетной за­писи, когда требовалось выполнять работы по администрированию. Зачем это может понадобиться? Все очень просто. Представьте, что вы блуждаете по Интернету или читаете свою электронную почту. В это время фрагмент вредоносного ПО усколь­знул от защитных механизмов и выполнился. От имени кого он будет запущен? Все верно, от имени вашей учетной записи. Что остановит его от наведения беспорядка в
корпоративной сети, если вы вошли как администратор домена или от имени другой привилегированной учетной записи? Ровным счетом ничего! В Wmdows предлагается
определенная защита посредством системы контроля пользовательских учетных за­писей ( User Account Control — UAC), но эта защита не идеальна. Подобно физиqес­кой защите, иногда простейшие решения оказываются наилучшими.
Решение довольно-таки простое и не настолько устрашающее, как могут вообразить
себе многие администраторы Windows, когда слышат о нем. Сотрудники с админис­
тративными правами должны иметь по две учетных записи. Первая учетная запись
будет предназначена для повседневной офисной работы, такой как использование
Microsoft Word, путешествия по Интернету или чтение электронной почты. Вторая
учетная запись предназначена для выполнения работ по администрированию.
Именно в этот момент люди начинают протестующе размахивать руками. Но дайте
нам закончить — очень скоро вы увидите, насколько все это просто в действии.
Предположим, что вы настраиваете такой сценарий для пользователя Steve Red. Его обычной ежедневной учетной записью является SRed, под которой он входит в систе­му на компьютере для выполнения работы, не связанной с администрированием. Вы
также настроили еще одну учетную запись, которая имеет права на упрамение частя­ми Active Directory, определенными серверами и рабочими станциями в офисе.

Эта учетная запись называется SRed-Admin. Вы могли бы применить детализиро­
ванную политику паролей, обеспечив более строгие требования для административ­
ной учетной записи, но вы решили оставить всех с кодовыми фразами. Это вполне
безопасно.
Каким образом пользователю Steve Red переключаться между разными ролями
в течение дня? Вот как звучит распространенный аргумент против разделения ад­
министраторов: «Я не хочу постоянно выходить и потом снова входить в систему».
Справиться с данной проблемой можно несколькими путями.
Вы располагаете возможностью использовать средство Run As (Запуск от имени) для запуска программ из-под других учетных записей пользователей. В Microsoft Wmdows Server и в клиентских ОС Wmdows программы можно запускать от имени пользовате­ля, отличающегося от текущего, под которым был совершен вход в систему. Это средс­тво известно под названием Rнn As. Вы должны выполнить следующие базовые шаги.
J . Отыщите программу, к-оторую нужно запустить.
2. Удерживая нажатой клавишу , щелкните правой кнопкой мыши на значке
программы и выберите в контекстном меню пункт Run as different user (Запуск от
имени другого пользователя).
3. Введите учетные данные пользователя, от имени которого хотите запустить программу.
Некоторые организации применяли такой прием и даже изменяли ярлыки для адми­нистративных оснасток консоли ММС в палке Administrative Tools, чтобы делать это по умолч:анию. Операционные системы Wiпdows 8 и Wiпdows Server 2012 позволяют
быстро переключ:ать пользователей без необходимости в выходе из системы.
Существуют и другие подходы к обеспечению решения. Некоторые подходы в про­
шлом использовали продукты виртуализации презентаций от Citrix для предоставле­
ния среды администрирования. Теперь службы удаленного рабочего стола ( Remote
Desktop Services) в Wmdows Server 2008 R2/2012 моrут легко дублировать такой под­ход, публикуя либо рабочие столы, либо приложения для компьютеров пользова­телей. Или же можно было бы предложить вариацию решения виртуального административного ПК, запустив такой виртуальный ПК на клиенте Wiпdows 8 Client;
он уже располагает полнофункциональным продуктом Wiпdows Server Hyper-V 3.0.
Финальным реализуемым решением являются серверы управления. Это вьщеленные
серверы Windows, предназначенные специально для управления IТ-инфраструктурой.
Все необходимые инструменты устанавливаются и открываются для совместного ис­пользования любым администратором, которому необходимо управлять серверами.
Крупное преимущество этого подхода состоит в том, что на таких серверах управ­
ления можно заблокировать подключ:ение к Интернету, а за счет определения соот­ветствующих правил доступа в брандмауэре обеспечить, что только этим серверам управления разрешено управлять остальными серверами. Администратору придется только подключаться к этим серверам управления с применением протокола удален­ного рабочего стола (Remote Desktop Protocol — RDP).
Теперь вы должны понимать необходимость в разделении двух жизненных аспектов администратора и убедиться, что не все решения трудны; на самом деле они могут благотворно влиять на экономию времени и усилий.
На рис. 8.4 показано окно Active Directory Users and Computers с контейнером
Users (Пользователи), содержащим несколько встроенных пользователей и групп,
которые являются важными для функционирования Active Directory.

Одни из них используются сейчас, а другие будут применяться, когда вы развер­
нете другую функциональность в сети. Нередко в данный контейнер помещают со­здаваемые учетные записи пользователей. Это значит, что отделить ваши обычные
учетные записи пользователей от встроенных учетных записей становится труднее, равно как усложняется применение политик и делегирование прав администриро­вания. Мы бы хотели, чтобы в Microsoft решили использовать для этого контейнера
другое имя. Решение особой сложностью не отличается.
1. Создайте в корне домена еще одну организационную единицу (OU), обычно
имеющую имя домена или организации. В этом случае создается OU по имени
BigFirm под bigfirm. com.
2. Создайте архитектуру организационных единиц, чтобы соответствовать полити­ке и административной иерархии организации внутри этого домена. Вы имеете организацию с единственным сайтом, поэтому выполните следующие шаги.
а. Создайте организационную единицу для пользователей (Users).
б. Создайте вторую организационную единицу для компьютеров (Computers).
в. Создайте третью организационную единицу для групп доступа (Securi ty
Groups).
Решение показано на рис. 8.5. Оно позволяет назначить права доступа объектам
каждого типа с детализированным контролем и трактовать их по-разному. Вы
создадите пользователей в OUBigFirmUsers внутри домена bigfirm. com.
3. Перейдите в организационную единицу, где вы хотите создать нового пользо­
вателя.
4. Щелкните правой кнопкой мыши на имени организационной единицы и вы­
берите в контекстном меню пункт NewqUser (СоздатьqПользователь), чтобы
создать пользователя. Запустится мастер создания нового объекта-пользовате­
ля (New Object — User WIZard).
Как видите, все довольно просто.

Это приведет к автоматическому заполнению полного имени, которое при же­
лании можно изменить.
6. Введите имя для входа, такое как SRed (рис. 8.6).
Возможно, это самое подходящее время для напоминания базовой термино­
логии тем, кто не знаком с Active Directory и управлением учетными записями
пользователей. Каждый пользователь имеет имена двух типов, с помощью ко­
торых он может получать доступ к ресурсам в сети.
Входное имя пользователя. Эrо имя, которое вы знаете лучше других, такое как SRed.
Основное имя пользователя (user principal name — UPN). Это имя пользователя,
которое выглядит похожим на адрес электронной почты. На рис. 8.6 видно,
что именем UPN для пользователя Steve Red является SRed@Ьigfirm. com.
Суффикс UPN ( @bigfirm . com) по умолчанию выводится из имени домена.
В нашем сценарии это bigfirm. com.
Обратите внимание, что суффиксы
UPN можно добавлять к лесу Active
Directory, следуя инструкциям, ко­
торые доступны по ссылке http : / /
support .microsoft . com/kЬ/243629.
Входное имя пользователя, которое
было сохранено ради обратной сов­
местимости, выглядит как SRed. Вы
также видите имя пользователя для
версий, предшествующих Windows 2000
Server — BigfirmSRed. Как ни стран­
но, это имя пользователя для версий,
предшествующих Windows 2000 Server,
является в точности тем именем, кота-

7. Щелкните на кнопке Next (Далее) для
перехода на экран, показанный на
рис. 8.7. Опции на этом экране по­
добны тем, которые доступны для
локальной учетной записи пользова­
теля. Они были описаны ранее, когда
рассматривалось создание локаль­
ной учетной записи пользователя.
Распространен ная ошибка здесь —
ввести пароль, который не удовлет­
воряет определенным требованиям к
сложности.
Стандартные настройки определены

Рис. 8.8. Новый пользователь в Active Directory

Что собой представляет отличительное имя (distinguished name — DN)? Имя DN
описывает, где объект пользователя создается в Active Directory и как он именует­
ся. В данном случае имя DN выглядит так: CN=Steve Red, OU=Users , OU=BigFirm,
DC=bigfinn, DC=corn. Рассмотрим его составные части.
• Общее имя (Common Name — CN). Это имя объекта. В этом случае оно пред­
ставляет собой имя объекта пользователя.
• Организационная единица (Organization Unit — OU). Для определения пути
BigFinnUsers используется несколько таких частей. В имени DN путь ука­
зывается в обратном порядке: CN=Steve Red, OU=Users, OU=BigFirrn.
• Компонент домена (Domain Component — DC). Описывает имя домена, например,
bigfirrn. corn. Обратите внимание, что оно не указывается в обратном порядке.
Чтобы получить дополнительную справочную информацию по созданию поль­
зователей с помощью команды dsadd, введите dsadd user /?. Вероятно, вы ви­
дели, что команда net user имеет опцию /dornain. Возможно, теперь вы ду­маете, что эта команда была проще, и интересуетесь, по какой причине она не применяется здесь. Дело в том, что команда net user не позволяет указать, где именно
в домене должен быть создан объект пользователя. Пользователя необходимо создать в
BigFinnUsers, и команда dsaddдaeт возможность сделать это. А теперь посмотрим,
что было создано, и каким образом упрамять учетными записями пользователей.

Установка свойств локальной учетной записи пользователя

Щелкните правой кнопкой мыши на учет­ной записи пользователя Steve Red, создан­ной на сервере-члене ServerOl, и выберите в контекстном меню пункт Properties (Свойства).Откроется диалоговое окно свойств, показан­ное на рис. 8.9. Это диалоговое окно должно выглядеть очень знакомым. Здесь присутс­твуют настройки, которые вы определили дляучетной записи пользователя при ее создании.
Недоступный флажок Accouпt is locked out (Учетная запись заблокирована) будет доступ­ным и отмеченным, если пользователь ока­жется заблокированным. Учетная запись бло­кируется, если политика паролей определяет,
что это должно произойти после установлен­ного количества неудавшихся попыток ввода

Рис. 8.9. Общие свойства локального
пользователя пароля в рамках заданного промежутка времени. По умолчанию это определено в Default Domain Policy. Обратите внимание, что флажком Account is locked out нельзя пользоваться до тех пор, пока учетная запись пользователя не станет заблокирован­ной; диалоговое окно свойств не может применяться для блокировки пользователя.
В последующих разделах рассматриваются свойства объекта пользователя и разнооб­
разные атрибуты локальной учетной записи пользователя.
вкладка Member Of
Вкладка Member Of (Членство в группах) используется для управления членством
в группах данной учетной записи пользователя (рис. 8. 10). М ы еще вернемся к этой
вкладке после того, как раскроем понятие групп далее в главе.
Вкладка Profile
Вкладка Profile (Профиль), представленная на рис. 8.1 1 , применяется для управ­
ления несколькими настройками.
• Profile Path (Путь к профилю). Данная настройка указывает местоположение,
где находится профиль пользователя. Профиль — это структура папок, содер­
жащая настройки, которые являются уникальными для данного пользователя.
Он также включает такие вещи, как папки Му Documents (Мои документы) и
Favori tes (Избранное) пользователя.
• Logon Script (Сценарий входа). Эта настройка позволяет определить сценарий,
который сохраняется на контроллерах домена и запускается каждый раз, ког­
да пользователь входит в систему. Для локальной учетной записи пользователя
сценарий входа может храниться локально.
• Home Folder (Домашняя папка). Данная настройка позволяет определить сете­
вой диск, который выделяется данному пользователю и отображается на ука­
занную букву диска после входа пользователя в систему.

Рис. 8.1 1 . Настройки профиля локаль­ного пользователя

ПРОСТОЙ СПОСОБ ПОЛУЧЕНИЯ ИМЕНИ DN
Администраторы иногда могуr быть достаточно ленивыми, чтобы вручную вводить
имя DN организационной един ицы с клавиатуры. Ниже описан альтернативный
способ.
1 . Откройте окно Active Directory Users and Computers.
2. Отметьте в меню View (Вид) пункт Advanced Features (Дополнительные возмож­
н о с т и) .
3. В оснастке станут видимыми многие дополнительные элементы.
4. Перейдите к организационной единице, имя DN которой нужно узнать, и открой­
те окно ее свойств.
5. Щелкните на вкладке Attribute Editor (Редактор атрибутов) и прокрутите список
Attributes (Атрибуты) вниз до появления атрибута distinguishedNarne.
6.Дважды щелкните на distinguishedName и скопируйте имя DN для далънейщеrо
использования.
Совсем недавно упоминались профили. Все очень просто: администратор создает
для пользователя папку, в которую будут автоматически сохраняться персональные
данные и настройки пользователя, и открывает общий доступ к этой папке на фай­ловом сервере. Она будет иметь такие разрешения безопасности, что получать к ней доступ могут только соответствующий пользователь (а также локальная система и локальные администраторы). Эrо позволит профилю пользователя храниться в дан­ном месте после выхода пользователя из системы и загружаться, когда он входит в систему.
Примером такой папки может служить DCOl profilesSRed.

Ниже описаны составные части.
• DCOl — файловый сервер.
• profiles — открытая папка.
Все аутентифицированные пользователи могут производить чтение и запись
в этот открытый ресурс. Папка в файловой системе разрешает чтение своего
содержимого только пользователям, прошедшим аутентификацию. Локальные
администраторы, скорее всего, будут иметь полный доступ к этому открытому
ресурсу и папке. Вы можете сделать такой открытый ресурс невидимым при
просмотре сети, назначив ему имя Profiles$.
• SRed — папка, которая создана для хранения профиля пользователя по имени
Steve Red.
Разрешение безопасности Modify (Изменение) для этой папки позволяет чи­
тать и записывать в нее только пользователю по имени Steve Red. Админист­
раторы файлового сервера и системы будут иметь к ней полный доступ.
Рис. 8.12. Настройки средылокального пользователя
вкладка Environment
Вкладка Environment (Среда), показанная
на рис. 8. 1 2, управляет тем, как рабочая среда
конфигурируется, когда пользователь входит в систему сервера с применением терминальных служб Windows Server 2008 (Terminal Services)или служб удаленных рабочих столов Windows Server 2012 (Remote Desktop Services), напри­мер, за счет использования клиента подклю­чения к удаленному рабочему столу (Remote Desktop Connection). Вы можете сконфигури­ровать определенную программу на запуск при каждом входе пользователя, отметив флажок Start the following program at logon (Запустить при входе следующую программу). При этом пона­ добится ввести команду для запуска программы и указать папку, которая будет для программы стартовой. Клиент Remote Desktop Connection позволяет пользователю выбрать отображе­ние своих локальных дисков и принтеров, а также конфигурировать печатные зада­ния для использования сервером стандартного принтера клиентского компьютера.
Администраторы могут дополнительно управлять этими опциями на данной вкладке.
REMOTE DESKTOP SERVICES ИЛИ TERMINAL SERVICES
Функциональность Terminal Services в Windows Server 2012 расширена с целью вклю­чения инфраструктуры виртуальных рабочих столов. В Microsoft провели ребрендинг
служб Terminal Services из Wmdows Server 2008 R2, которые получили название Remote
Desktop Services (RDS), сохранив их и в версии Wiпdows Server 201 2. Может возникнуть небольшая путаница, если вы читаете эту главу и все еще работаете в среде Wmdows Server 2008. Просто запомните, что когда мы ссылаемся на Remote Desktop Services, то обычно имеем в ВидУ также и Terminal Services в Wmdows Server 2008/2012.
вкладка Sessions
ВКJiадка Sessioпs представлена на рис. 8. 13.
С ее помощью также можно управлять тем, как службы Remote Desktop Services будут
функционировать для данного пользователя. Сеанс пользователя на сервере будет оставаться в отКJiюченном состоянии, если поль­зователь решил не выходить из системы. Это значит, что сеанс продолжит использовать ресурсы, а программы продолжат выполнение. Более важно то, что будут потребляться два свободно доступных параллельных сеан­са, которые используются администраторами на серверах. Забывчивые администраторы могут быстро задействовать оба эти сеанса, что будет препятствовать нормальному вхо­ду на серверы другим администраторам пос­редством КJiиента Remote Desktop Connection. Следует отметить, что администраторы могутзавершать такие сеансы Вы можете решить поступать так в отношении учетных записей, применяемых для служб. Это означает, что даже если пароль учетной записи окажется скомпрометированным, она не может быть исполь­зована злоумышленником через Remote Desktop.
Вкладка Dial-in
Вкладка Dial-in (Дозвон), показанная на рис. 8.16, позволяет администратору управлять тем, может ли пользователь дистанционно подключаться к этому серверу и
каким образом, например, создавая туннель VPN или применяя модем для дозвона.
Как вы, вероятно, уже заметили вносить изменения в любое свойство внутри
этого диалогового окна очень легко, используя оснастку Active Directory Users and
Computers. Посредством команды net user можно управлять только некоторыми из
этих настроек. Давайте рассмотрим несколько из них. Следующая команда изменит
полное имя локальной учетной записи пользователя:
net user SRed /fullnarne : «Steve Red»
А эта команда установит путь к домашней папке:
net user SRed /hornedir: «D: HorneSRed»
До действительного запуска команды необходимо удостовериться в корректности
этого пути, поскольку сама команда его не проверяет. Понадобится также верифи­
цировать разрешения для данного пользователя.
Показанная ниже команда конфигурирует настройку пути к профилю для поль­
зователя:
net user SRed /profilepath : «D : ProfilesSRed»
Опять-таки, команда не осуществляет проверку на предмет ошибок, поэтому вы
должны сначала убедиться в правильности пути и разрешений.
SRed Properties

Рис. 8.15. Вкладка Remote Desktop

Установка свойств доменной учетной записи пользователя

Давайте посмотрим, чем отличается установка свойств доменной учетной записи
пользователя от недавно описанной установки свойств локальной учетной записи
пользователя.
! . Войдите в систему контроллера домена DCOl .Ьigfirm. com.
2. Найдите объект пользователя.
3. Щелкните правой кнопкой мыши на имени объекта пользователя и выберите
в контекстном меню пункт Properties (Свойства).
Обратите внимание, что вы должны отметить пункт Advanced Features (Допол­
нительные возможности) в меню View (Вид) оснастки Active Directory Users
and Computers (ADUC). Диалоговое окно свойств пользователя показано на
рис. 8. 17.
4. Снимите отметку с пункта Advanced Features в меню View оснастки ADUC и
ознакомьтесь со сравнительными характеристиками, приведенными в после­
дующих разделах.
Вы заметите, что расширенное представление предлагает намного больше воз­
можностей. Здесь следует упомянуть два момента.
• В диалоговом окне свойств для доменной учетной записи пользователя имеет­ся намного больше вкладок с множеством настроек, чем в аналогичном окне
для локальной учетной записи пользователя.
Доменная учетная запись предоставляет администраторам намного больший
контроль над пользователями. Она также позволяет сохранять для каждой
учетной записи пользователя дополнительную информацию, которая может
применяться пользователями или приложениями.
• Локальные и доменные учетные записи пользователей разделяют между собой
множество общих настроек.
Мы не собираемся здесь повторять описание этих настроек, а предполагаем, что
вы читали предшествующие разделы, посвященные локальным учетным записям
пользователей.
Давайте начнем с рассмотрения вкладки General (Общие).
Вкладка Genera/
На рис. 8.17 вы видели описательную информацию для пользователя — обычные
имя и фамилию. У вас также имеется возможность хранить в объекте пользователя
внутри Active Directory и другие сведения о пользователе, такие как офис, где он
работает, телефонный номер, адрес электронной почты и адрес веб-страницы. Вы
обнаружите, что можете использовать настройки адреса электронной почты или
веб-страниuы для данного пользователя, щелкнув правой кнопкой мыши на объекте
пользователя n оснастке Active Directory Users and Computers. Это дает возможность
открыть nеб-страницу полыователя или отправить сообщение по его адресу элект­ронной почты.

Рис. 8.17. Свойства учетной записи
пользователя Active Directory
Вкладка Address
Рис. 8.18. Вкладка Address для
пользователя Active Directory

Вкладка Address (Адрес) представлена на рис. 8.1 8. Она позволяет определить
почтовый адрес для заданного пользователя. Зачем это может понадобиться? Среда
Active Directory может применяться в качестве каталога для пользователей; другими
словами, пользователи могут ее использовать для выяснения информации о других
пользователях в сети или же она может применяться приложениями для сохране­ния, извлечения и распространения информации среди пользователей.
вкладка Account
На вкладке Account (Учетная запись), пока­занной на рис. 8.19, можно видеть входное имя пользователя, имя UPN, а также входное имя пользователя для версий, предшествующих Windows 2000 Server, которые были установле­ны во время создания пользователя. На данной вкладке все эти имена можно изменить.
Щелчок на кнопке Logon Hours (Часы вхо­ да) приводит к открытию диалогового окна
Logon Hours (Часы входа), представленного на рис. 8.20. Оно позволяет управлять тем, когда пользователь может входить в сеть для досту­
па к ресурсам. Это может понадобиться при наличии исключительно строгих требований к
безопасности. Данная настройка конфигуриру­ется не особенно часто.
Рис. 8.21 . Диалоговое окно Logoп Work­
statioпs для пользователя Active Directory
На вкладке Accouпt имеется также кнопка Log Оп То (Входить в), щелчок на ко­
торой приводит к открытию диалогового окна Logoп Workstatioпs (Рабочие станции
для входа), показанного на рис. 8.21 .
Диалоговое окно Logoп Workstatioпs позволяет управлять тем, какие компьютеры
данный пользователь может применять для входа в Active Directory. Это может быть
необходимым в нескольких случаях.
• Нужен контроль над тем, где некоторые или даже все пользователи соверша­
ют вход в систему. Это определенно нестандартный вариант конфигурации, но
уровень безопасности, принятый в определенных организациях, может того
требовать.
• К вам приходит консультант или технический специалист, и вы хотите ограни­
чить круг компьютеров, на которых он должен работать.
• Вы создаете учетную запись для приложения или службы и хотите, чтобы она
использовалась только на определенных серверах. Это ограничит ущерб (хотя
и временно), который может быть нанесен в случае компрометации данной
учетной записи.
Настройки, доступные посредством кнопок Log Оп То и Logoп Hours на вкладке
Accouпt, моrут применяться вместе для исполнения ограничений входа в систему,
принятых в отношении доменной учетной записи пользователя.
Вернемся снова к рис. 8.19. Обратили ли вы внимание на множество других оп­
ций для управления учетной записью? Чтобы увидеть их, придется прокрутить вниз список Accouпt optioпs (Параметры учетной записи), находящийся в середине вклад­ки Accouпt диалогового окна.
• User Must Change Password at Next Logon (Пользователь должен изменить
пароль при следующем входе). Применяется для того, чтобы заставить поль­
зователя изменить свой пароль после того, как администратор установит или
сбросит его. Это значит, что администратор не должен знать, что пользователь
выбрал в качестве пароля.

• User Cannot Change Password (Пользователь не может изменять пароль).
Используется для учетных записей служб, чтобы гарантировать неизменность
пароля.
• Password Never Expires (Срок действия пароля никогда не истекает).
Переопределяет любые политики устаревания паролей, которые могут быть
сконфигурированы в Active Directory. В идеале применяется для учетных запи­
сей служб, а не рядовых пользователей.
• Store Password Using ReversiЫe Encryption (Сохранять пароли с использо­
ванием обратимого шифрования). Никогда не отмечайте данный флажок, если
только не имеете стопроцентную уверенность в том, что данное действие не­
обходимо. Это требуется, когда приложению нужно знать пароль пользователя
в целях аутентификации. В Microsoft говорят, что это в точности то же самое,
что и хранение пароля в виде простого текста.
• Account ls DisaЬled (Учетная запись отключена). Администратор может от­
ключить учетную запись пользователя, чтобы устранить возможность аутенти­
фикации или авторизации с ее помощью.
• Smart Card ls Required for lnteractive Logon (Для интерактивного входа
требуется смарт-карта). Среду Active Directory можно сконфигурировать так,
чтобы пользователям было разрешено входит в сеть только при наличии у
них смарт-карт. Такой подход называется двухфакторной аутентификацией.
Другими словами, пользователь применяет для входа то, чем он располагает
(уникальный маркер), и то, что ему известно (секретный РIN-код). Этот под­
ход считается намного лучшим решением аутентификации, чем пароли и ко­
довые фразы, по следующим причинам.
• Маркером затруднительно поделиться или похитить.
Смарт-карта является уникальной, и ее владельцу сразу станет известным
факт ее похишения, а в случае передачи ее кому-то другому владелец сам не
сможет войти в сеть.
• Используется простой для запоминания РIN-код. Кроме того, применяются
механизмы очень строгого шифрования.
Это означает, что пользователь не имеет дела с часто изменяемыми пароля­
ми, которые являются распространенной причиной для беспокойств из-за
того, что сложные пароли нередко забываются.
Потребность в усиленной безопасности может побудить администраторов к
внедрению смарт-карт для некоторых или даже для всех пользователей. От­
метка флажка Smart Card ls Required for lnteractive Logon вынудит пользователей
входить в сеть с применением выданных им смарт-карт и запретит вход с пре­
доставлением традиционных имени пользователя и пароля.
• Account ls Sensltive and Cannot Ве Delegated (Учетная запись является важной
и не может быть делегирована). С помощью этого флажка указывается, может
ли служба заимствовать права у пользователя. Это делается для того, чтобы
разрешить службе выступать в качестве пользователя. Возможно, вы столк­
нетесь с таким поведением на среднем уровне в многоуровневой архитектуре,
такой как часть веб-клиента, сервер приложений среднего уровня и сервер баз данных. По умолчанию этот флажок не отмечен, что разрешает заимствование
прав данной учетной записи.
• Use Kerberos DES Encryption Types for This Account (Использовать для этой
учетной записи типы шифрования Kerberos DES). Некоторые приложения могут
требовать учетной записи службы, которая использует алгоритм шифрования
DES. Для таких учетных записей служб необходимо отметить этот флажок.
После изменения этой настройки может понадобиться сбросить пароль.
• This Account Supports AES 128-Bit Encryption (Эта учеmая запись поддержива­
ет 128-битное шифрование AES). Некоторые приложения могут требовать учет­
ной записи службы, которая использует алгоритм 128-битноr·о шифрования
AES. Для таких учетных записей служб необходимо отметить этот флажок.
+ Thls Account Supports AES 256-Bit Encryption (Эта учетная запись поддержива­
ет 256-битное шифрование AES). См. описание предьщущего флажка.
• Do Not Require Kerberos Preauthentlcation (Не требовать предварительной
аутентификации Kerberos). Этот флажок предназначен для предоставления
пользователям возможности входить в сеть, коrда в ней содержится смесь
разных областей Kerberos, таких как Active Directory и центры распределения
ключей Unix (key distribution center — КОС).
Обратили внимание, что в списке не предусмотрено недоступного флажка, кото­
рый бы указывал на заблокированное состояние учетной записи? Это делает совер­шенно очевидным тот факт, что применять данное диалоговое окно мя блокировки пользователя нельзя. Разблокировать пользователя можно с помощью флажка Unlock
account (Разблокировать учетную запись), расположенного выше списка Account op­tions на вкладке Account.
Последние элементы управления на этой вкладке предназначены ми управления
автоматическим истечением срока действия учетной записи. Вы можете определить дату, по прошествии которой учетная запись больше не будет использоваться. Это
удобно при создании учетной записи пользователя мя приходящих инженеров/кон­сультантов или мя временного/контрактного персонала. Поскольку вам известно,
сколько времени они будут находиться в офисе, вы можете заранее сконфиrуриро­
вать учетную запись так, чтобы срок ее действия истекм, и войти с ее помощью
стало невозможно. Это изящно защищает сеть от злоупотреблений с учетными за­
писями пользователей.
вкладка Profile
Назначение вкладки Profile (Профиль), представленной на рис. 8.22, обсуждалось
при рассмотрении локальных учетных записей пользователей.
вкладка Telephones
Вкладка Telephones (Телефоны) должна быть очевидной (рис. 8.23). Здесь указы­
ваются телефонные номера мя связи с пользователем.
вкладка Organization
Вкладка Organization (Организация) является еще одной информационной DКЛад­
кой (рис. 8.24). Мы несколько раз упоминали, что приложения могут использовать
информацию такого рода.

Рис. 8.22. Вкладка Profile для пользо­
вателя Active Directory

Рис. 8.23. Вкладка Telephoпes для поль­зователя Active Directory
Например, настройки на этой ВЮiадке могли бы применяться реализацией служб
Windows SharePoint (SharePoint Services — WSS). Данная информация отображается
в веб-интерфейсе, когда пользователи ищут дополнительные сведения о владельце
определенной документации или о сайте внутри реализации WSS. Службы WSS за­гружают эту информацию из объекта пользователя, сконфигурированного в Active
Directory. Скажем, если вы просматриваете сведения о пользователе Steve Red на
сервере WSS, то свойства учетной записи SRed будут читаться службой WSS из ActiveDirectory.
Эта ВЮiадка позволяет описать роль пользователя внутри организации — это не
более чем сведения о кадрах, не имеющие отношения к делегированию или адми­
нистрированию Active Directory. Можно также указать руководителя, перейдя к дру­
гой учетной записи пользователя в Active Directory.
Вкладка СОМ+
На ВЮiадке СОМ+ вы углубляетесь в область программирования приложений
(рис. 8.25). Раздел (partition) — это конфигурация приложения. Приложение может
иметь множество конфигураций. Это значит, что вы можете иметь несколько разде­
лов СОМ+ внутри Active Directory. Дополнительные сведения о разделах приложе­
ний приведены в документации MSDN.
Набор разделов может содержать множество разделов. Пользователей мож­
но привязывать к наборам разделов и, в свою очередь, к содержащимся разделам.
Привязывать можно не только какого-то одного пользователя; можно привязать
всех пользователей в организационной единице за счет привязки этой OU к набо­
ру разделов. Создание набора разделов внутри Active Directory описано в MSDN по
ссылке http : //tinyurl . com/2naoft.

Рис. 8.25. Вкладка СОМ+ для поль­
зователя Active Directory
Вы уже сталкивались с вкладкой Attribute Editor (Редактор атрибутов), когда име­
ли дело со свойствами организационной единицы (рис. 8.26). При желании на ней
можно просматривать или напрямую редактировать свойства объекта, представляю­
щего пользователя.
Вкладка PuЫished Certificates
Вкладка PuЫished Certificates (Опубликованн ые сертификаты) показана на
рис. 8.27. Сертификаты предоставляют механизм защиты, основанный на шифрова­
нии, который применяется для подтверждения идентичности.
Здесь можно просматривать сертификаты, которые были автоматически назначены
пользователю через Active Directory с использованием служб сертификатов (Certificate
Services). У вас есть возможность вручную назначить пользователю сертификат из
собственного локального хранилища сертификатов либо из файловой системы.
Вкладка Member Of
Вкладка Member Of (Членство в группах) позволяет управлять членством в груп­
пах данной учетной записи пользователя (рис. 8.28). Мы вернемся к ней позже в
этой главе, когда будем рассматривать группы и членство в группах.
Как видите, можно также управлять основной группой пользователя. Это требу­
ется только в приложениях POSIX (PortaЫe Operating System lnterface for Computer
Environment — интерфейс переносимой операционной системы) или на клиентских
компьютерах Macintosh. Когда один из таких клиентов создает файл или папку на
сервере Windows, этому новому объекту назначается основная группа. Эта группа
должна находиться в собственном домене пользователя и быть либо глобальной,
либо универсальной группой доступа.

Рис. 8.26. Вкладка Attribute Editor
для пользователя Active Directory
вкладка Password Replication
Steve Red Properties
Рис. 8.27. Вкладка PuЫished Certificates
для пользователя Active Directory
Вкладка Password Replicatioп (Репликация паролей) позволяет просматривать, на
какие контроллеры домена только для чтения (read-only domain controller — RODC)
был реплицирован пароль данного пользователя (рис. 8.29). Опция RODC была до­
бавлена в архитектуру Active Directory в версии Windows Server 2008. Контроллер
домена RODC можно добавлять в офис филиала, где не может быть обеспечена
физическая защита, достаточная для размещения обычного контроллера домена.
В случае похищения или компрометации RODC вы можете изолировать учетные за­
писи пользователей, детали которых хранились на этом RODC.
Вкладка Object
Вкладка Object (Объект), представленная на рис. 8.30, должна быть очень полез­
на при поиске и устранении неполадок. На ней можно видеть важную информацию,
такую как:
• когда объект был создан;
• когда объект последний раз изменялся;
• информация USN (update sequence number — порядковый номер обновления),
которая применяется для управления репликацией Active Directory.
Удобной новой опцией на этой вкладке является возможность защиты учетной
записи пользователя от случайного удаления, для чего необходимо отметить флажок
Protect object from accideпtal deletioп (Защитить объект пользователя от случайного
удаления). Это позволяет гарантировать, что никто не сможет неумышленно уда­
лить учетную запись для критически важной службы.

Рис. 8.28. Вкладка Member Of для
пользователя Active Directory
Вкладка Security

Рис. 8.32. Дополнительные пользователи Active Directory
Предположим, что вы хотите изменить настройки для всех пользователей в этой
организационной единице. Выделите все учетные записи пользователей, щелкните
правой кнопкой мыши и выберите в контекстном меню пункт Properties (Свойства).
Откроется диалоговое окно свойств, представленное на рис. 8.33. Для несколь­
ких пользователей в действительности мало смысла предоставлять абсолютно все
настройки, поэтому вы увидите только подмножество опций.
Чтобы модифицировать настройку, отметьте связанный с ней флажок. Это сде­
лает доступным поле редактирования. Теперь эту настройку можно отредактировать
для всех ранее выделенных пользователей (рис. 8.34).
Управление доменными учетными записями пользователей с помощью оснастки
Active Directory Users and Computers выполняется очень легко. А теперь посмотрим,
как поступить, когда единственным вариантом является командная строка.

Рис. 8.ЗЗ. Свойства нескольких объектов
пользователей Active Directory
Рис. 8.34. Изменение атрибутов мно­жества объектов Active Directory
Управление доменными учетными записями пользователей в командной строке
Давайте посмотрим, как решать те же задачи в командной строке. Будет исполь­
зоваться команда dsmod с опцией user. Получить справку по этой команде можно
следующим образом:
dsrnod user /?
Обратите внимание, что для модификации настроек пользователя должно быть
указано его имя DN. Вспомните данный ранее в главе совет по получению тако­
го имени из свойства distinguishedName объекта учетной записи пользователя на
вкладке Attribute Editor (см. врезку «Простой способ получения имени DN»). Это
можно сделать, когда доступен графический пользовательский интерфейс. Но что,
если это не так? В случае, когда известно имя UPN пользователя, для получения
имени DN можно ввести команду dsquery:
dsquery user -upn SRed@bigfirrn. com
«CN=Steve Red, OU=Users, OU=BigFirrn, DC=bigfirrn, DC=corn»
В качестве альтернативы команду dsquery можно запустить с применением име­
ни учетной записи SAM, которое представляет собой дружественное имя, известное
как SRed:
C : UsersAdrninistrator>dsquery user -sarnid SRed
«CN=Steve Red, OU=Users, OU=BigFirrn, DC=bigfirrn, DC=corn»
dsquery — это действительно мощная команда, поэтому ее полезно изучить,
введя dsquery /?.
Теперь можно продолжить, выполнив команду dsmod. Вот как сконфигурировать
домашнюю папку и отобразить ее на букву диска для пользователя Steve Red:
dsrnod user «CN=Steve Red, OU=Users, OU=BigFirrn, DC=Ьigfirrn, DC=corn»
-hrndir \DC01horne$SRed -hrndrv Р
Команда настроит домашнюю папку (специальную сетевую открытую папку,
специфичную для этого пользователя) с буквой диска Р, которая отображается на
DCOl home$SRed всякий раз, когда пользователь Steve Red входит в сеть.
Далее необходимо сконфигурировать руководителя для пользователя Steve Red.
Вы только что узнали, что пользователь по имени Marcel Zehner повышен до на­
чальника отдела. Введите следующую команду:
dsmod user «CN=Steve Red, OU=Users , OU=BigFirm, DC=bigfirm, DC=com»
-mgr «CN= Marcel Zehner , OU=Users, OU=BigFi rm, DC=Ьigfirm, DC=com»
Обратите внимание, что вы не вводили для руководителя что-то похожее на
Ьigfirmmzehner или mzehner. В действительности вы использовали имя DN учет­
ной записи пользователя, ямяющегося руководителем.
На первых порах команда dsmod выглядит сложной в применении. Поработайте
с ней некоторое время, и вы увидите, что на самом деле не все так плохо.
ПЕРЕИМЕНОВ.АНИЕ И УДАЛЕНИЕ ОБЪЕКТОВ
Как вы наверняка догадались, решение о переименовании или удалении чего-либо должно приниматься взвешенно. Такие действия имеют весьма серьезные последствия.
Переименование объектов
Каждый объект в Windows имеет имя. Это имя используется для входа в систему,
внутри сценариев, в конфигурации приложений и т.д. Например, если вы создали
учетную запись SCorso, то пользователь по имени Simona Corso будет применять
ее ддя входа. Это имя не отслеживается в Windows, поскольку оно может измениться,
к примеру, на Simona Red, что повлечет за собой изменение имени пользователя на
SiRed. ОС Windows не должна искать в сети все ресурсы, где использовалась учетная
запись SCorso, чтобы изменить в них ссьmку на SiRed: членство в группах, права
доступа к файлам, связи с почтовыми ящиками и тому подобное.
Понятие идентификатора безопасности

Людям проще запоминать и вводить дружественные имена, но Windows назначает каждому объекту специальный код, который называется идентификатором безопас­ности (security identifier — SID) и представляет собой глобально уникальный иден­тификатор в пределах Active Directory. Все объекты пользователей и компьютеров
обладают идентификатором SID. Каждая группа также имеет SI D.
Что произойдет, когда вы переименовываете пользователя или группу, являющуюся
участник.ом безопасности (security principal)? Конечно, известное вам имя изменяет­ся. В случае Simona Red необходимо помнить имя пользователя. Однако Windows отслеживает объекты пользователей только по идентификаторам SID. Любые раз­решения на доступ к ресурсам, назначенные объекту пользователя, и его членство в группах не изменятся, т.к. идентификатор SID остался прежним. Обратите вни­мание, что приложения от независимых поставщиков, работающие с именами объ­ектов, а не с идентификаторами SID, потребуют корректировки ссылок на имена
объектов, но приложения, тесно интегрированные с Active Directory, такие как SQL,
SbarePoint или Excbange, продолжат нормально функuионировать.
Здесь важно запомнить, что после изменения имени объекта Active Directory, пред­ставляющего пользователя или группу, Wmdows по-прежнему трактует его как тот же самый объект. Разрешения, выданные этому объекту, его атрибуты, членство в груп­пах и прочие аспекты не меняются.

Удаление объекта
Другой сценарий, который вы должны обдумать, связан с удалением объекта. При
назначении разрешений учетной записи SiRed в Windows поддерживается список
разрешений, ассоциированный с идентификатором SID этого пользователя. То же
самое происходит и в случае группы пользователей — разрешения будут ассоцииро­ваны с SID объекта группы, а не с его именем.
Восстановление удаленного объекта
При удалении объекта пользователя или группы следует проявлять крайнюю осто­рожность. Если вы случайно удалили его и хотите восстановить в прежнем состоя­
нии, то не сможете сделать это, просто создав новый объект с тем же самым именем.
Вспомните, что идентификатор SID является глобально уникальным, и он не привя­зан к имени объекта. Созданный в качестве замены объект пользователя SiRed бу­дет иметь другой SID. Открытый файловый ресурс или почтовый ящик, к которому учетная запись SiRed получала доступ, не распознает новый объект пользователя из­-за того, что его идентификатор SID отличается по сравнению со старым объектом.
Единственный способ восстановления доступа к удаленному объекту пользователя
или группы предусматривает его восстановление из резервной копии.
Существует несколько способов сделать это, которые обсуждаются по ссылке
http : / /tinyurl . com/2wgo4g. В версии Windows Server 201 2 появилось средство
под названием корзина Active Directory (Active Directory Recycle Bin), упрощающее
процесс восстановления недавно удаленных объектов.
Важно помнить, что Wmdows идентифицирует объект не по имени, а по SID. В ре­
зультате повторного создания копии объекта с тем же самым именем будет получен
другой объект.
Передовой опыт
По изложенным причинам мы настоятельно рекомендуем отключать пользователей,
когда поступает запрос на их удаление от руководства или отдела кадров. Это за­
блокирует их доступ в сеть. Вдобавок мы рекомендуем создать отдельную организа­
ционную единицу для учетных записей, которые были отключены, и перемещать в
нее отключаемых пользователей. Поступая подобным образом, Bf:>l сможете получить
немедленный обзор всех неиспользуемых учетных записей. Всегда есть шанс, что
случилось недопонимание или человек возвратился к работе. Восстановить доступ
легко: просто включите его учетную запись. По истечении согласованного периода
хранения в 30 или 60 дней объект может быть удален.
Для поиска неактивных и отключенных учетных записей в домене Active Directory
можно применять следующую команду:
dsquery user -inactive -disaЫed
Например, эта команда найдет пользователей, которые отключены или были не­
активными в течение восьми недель:
dsquery user -inactive В -disaЫed
Чтобы удалить одного или нескольких пользователей, их необходимо выде­
лить, щелкнуть правой кнопкой мыши и выбрать в контекстном меню пункт Delete
(Удалить). Удаление пользователя в командной строке также выполняется несложно
с помощью следующей команды:
net user /delete
Вот команда для удаления локальной учетной записи пользователя SRed:
net user SRed /delete

Дпя удаления учетной записи пользователя Active Directory должна использовать­
ся команда dsrm с указанием имени DN объекта пользователя:
dsrm «CN=Steve Red, OU=Users, OU=BigFi rm, DC=Ьigfirm, DC=com»
Будет выдан запрос на подтверждение удаления. Иногда требуется отключить
оыдачу такого запроса, например, внутри сценария. Это делается так:
dsrm «CN=Steve Red, OU=Users , OU=BigFirm, DC=Ьigfirm, CC=com» -noprompt

Управление группами

Трактовка коллекции пользователей как единой сущности для какой-то одной
или нескольких целей упрощает решение множества задач администрирования.
Например, вместо выполнения 100 операций по назначению каждому и:з 10 поль­
зователей разрешений на доступ к 1 О ресурсам можно поместить пользователей в
группы ( 1 операция) и назначить этой группе разрешения на доступ к ресурсам
( 1 1 операций). Приведенные подсчеты делают вполне понятной необходимость в
применении групп. Вместо того чтобы иметь дело с индивидуумами, вы взаимо­
действуете с коллективом, т.е. группой.
В сущности, при назначении разрешений рекомендуется всегда использовать
группы. По этой причине вы должны научиться создавать группы, изменять членс­
тво, а также удалять их. Вы узнаете, как создавать, управлять и удалять локаль­
ные группы и группы домена с применением оснастки Active Directory Users and
Computers, а также командной строки.

локальные группы

Подобно локальному пользователю, локальная группа существует внутри сер­
вера-члена или автономного компьютера, будь то сервер, ноутбук или настольный
компьютер. Она содержит локальные учетные записи пользователей, существую­
щие на сервере. Эта группа также может содержать пользователей или группы Active
Directory, членами которых является сервер. Управлять группами можно с использо­
ванием тех же самых инструментов с графическим интерфейсом, что и при управле­
нии локальными пользователями.
На рис. 8.35 показано, где производится управление локальными группами на
сервере. Как видите, по умолчанию таких групп имеется немало. При добавлении
определенных ролей будут добавляться дополнительные группы.
создание группы
В этом разделе мы создадим новую группу под названием Fileshare. Данную
группу можно применять для назначения ее членам разрешений на доступ к общему
файловому ресурсу, расположенному на этом сервере.
1 . Выберите в меню Action (Действие) пункт New Group (Создать группу) или
щелкните правой кнопкой мыши в центральной панели и выберите в контекс­
тном меню пункт New Group.
Откроется диалоговое окно New Group (Новая группа).
Рис. 8.37. Выбор членов группы

4. В группу могут быть добавлены следующие члены:
• пользователи Active Directory или локальные пользователи;
• учетные записи компьютеров из Active Directory;
• группы Active Directory.
Варианты, основанные на Active Directory, будут доступны, только если дан­
ный север является членом домена. Сервер, на котором выполняется работа,
SERVEROl, является членом bigfirт. сот.
В текущий момент настройка Select this object type (Выбирать этот тип объек­
тов) позволяет добавлять в группу пользователей, группы или учетные записи
служб. Это можно изменить, щелкнув на кнопке Object Types (Типы объектов).
Как показано на рис. 8.38, можно отмечать или снимать отметку с флажков
Computers (Компьютеры), Groups (Группы), Users (Пользователи) и Service
Accouпts (Учетные записи служб). Что понимается под учетными записями
служб? В Windows Server 2012 теперь также есть возможность выбора учетных
записей управляемых служб (Managed Service Accounts — MSA). В зависимос­
ти от отмеченных флажков вы изменяете то, что можно добавлять или удалять
из группы во время редактирования членства.
Возвратившись обратно в диалоговое окно Select Users, Computers, Service
Accouпts, ог Groups, вы увидите, что настройка From this locatioп (Из этого мес­
тоположения) установлена в домен, членом которого сервер является. Это де­
лается по умолчанию мя компьютера-члена домена. Местоположение опреде­
ляет, откуда можно выбирать объекты мя помещения в группу. На автоном­
ном сервере местоположением может быть только он сам. В данном примере
можно выбирать пользователи или компьютеры из домена Ьigfirm. сот.
5. Это необходимо изменить, чтобы выбрать локальную учетную запись пользо­
вателя. Щелкните на кнопке Locations (Местоположения).
Обратите внимание, что в открывшемся диалоговом окне Locations (Местопо­
ложения) можно также выбрать другой доверенный домен. Можно даже пе­
рейти внутри домена к конкретной организационной единице, чтобы сузить
область поиска доменного пользователя или компьютера.
На рис. 8.39 узел домена раскрыт, чтобы продемонстрировать возможность
прохода по организационным единицам. Тем не менее, нас интересует локаль­
ная учетная запись пользователя.
ObJect Types
Рис. а.за. Возможные типы объектов для
членов группы
locatio1S
Рис. а.39. Выбор местоположения источника
объектов

6. Выберите имя локального сервера,

В качестве альтернативы вы могли бы выбрать домен, чтобы добавить
группу или пользователя из домена Active Directory в свою локальную группу. Если вам точно известно
имя пользователя добавляемой ло­кальной учетной записи, то простовведите его.
Рис. 8.40. Добавление пользователя
в локальную группу
ните на кнопке Check Names (Проверить имена). Производится поиск в базе
данных локальных учетных записей и в диалоговом окне Select Users (Выбор
пользователей) выводится подтверждение того, что пользователем SRed в дейс­
твительности является SERVEROl SRed (рис. 8.40). Если же вы уверены в пра­
вильности имени, можете просто ввести его и щелкнуть на кнопке ОК.
8. Если точное имя не известно, щелкните на кнопке Advanced (Дополни­
тельно), чтобы открыть диалоговое окно, показанное на рис. 8.41.
Многие опции поиска здесь недоступны, т.к. вы указали для местоположения
локальный компьютер. Эти опции работают, только когда в качестве местопо­
ложения установлен домен.
9. Щелкните на кнопке Find N o w (Найти сейчас), чтобы вывести список доступ­
ных учетных записей, которые можно добавить в группу, на основе определен­
ного ранее критерия.
На рис. 8.42 приведены результаты поиска. Здесь вы можете выбрать объект
или объекты для добавления в группу.
Рис. 8.41 . Расширенное представление
членства в группе

Рис. 8.42. Выбор пользователя для добавления
в группу внутри расширенного представления

1 О. Выберите объект SRed и щелкните на кнопке ОК.
Выбранные объекты отображаются в диалоговом окне Select Users, как пока­
зано на рис. 8.43.
1 1 . Щелкните на кнопке ОК, чтобы сохранить это членство. На рис. 8.44 видно,
что группа готова к созданию со своим начальным членством.
12. Завершите процесс, щелкнув на кнопке Create (Создать).

Рис. 8.43. Проверенный потенциальный член
группы
Рис. 8.44. Отображение потенциаль­
ных новых членов
На рис. 8.45 можно заметить, что новая группа была создана, и в нее был добав­
лен пользователь Steve Red.

Рис. 8.45. Созданная новая группа

Вход с новым ЧЛЕНСТВОМ в ГРУППАХ
Есть одно важное замечание, которое nрименимо к работе как с группами Active
Directory, так и с локальными группами. Пользователь может использовать свое
членство в группах, только когда он выполняет вход после изменения qленства.
Пользователь Steve Red не может работать со своим новым qленством в группе,
т.к. в текущий момент он находится в системе. Вы должны уведомить его о необхо­димости выйти и снова войти.
Создание группы в командной строке
Группу можно создать в командной строке с помощью команды net localgroup.
Для получения справки введите:
net help localgroup
Для создания группы запустите следующую команду:
net localgroup Fileshare /add
/coпunent : «MernЬers assigned permission to the fileshare on this server»
Ниже приведен синтаксис этой команды:
net localgroup /add /coпunent : «»
Обратите внимание, что вы не можете добавить пользователя в группу во время
ее создания в командной строке.
Добавление пользователя в группу
Давайте добавим в группу новый член. Это можно сделать через оснастку консо­
ли ммс.
1. Откройте диалоговое окно свойств группы, представленное на рис. 8.46.
Здесь вы можете видеть существующие члены в группе.
F1feshare Properties
1 МепЬеr af ths group have ассе зз to the fieshcre
Рис. 8.46. Диалоговое окно свойств группы

2. Щелкните на кнопке Add (Добавить), чтобы добавить новый член в группу.
Как и ранее, вы можете установить критерий для объектов, добавляемых в груп —
пу, и указать их источник. Вы собираетесь добавить группу домена в локальную
группу. Вы хотите, чтобы все пользователи, находящиеся в домене, были в со­
ставе локальной группы. Вам известно, что для этого предназначена встроенная
группа домена под названием Domain Users (Пользователи домена).
3. Введите имя этой группы и щелкните на кнопке Check Names (Проверить
имена).
На рис. 8.47 видно, что встроенная группа домена Domain Users будет добав­
лена в локальную группу.
Рис. 8.47. Добавление группы домена в локальную группу
УДОБНЫЙ ПРИЕМ: ДОБАВЛЕНИЕ ГРУППЫ ДОМЕНА В ЛОКАЛЬНУЮ ГРУППУ
Сценарий добавления группы домена в локальную группу является довольно мощ­ным. Он позволяет администратору повторно использовать коллекцию объектов Active Directory в форме группы Active Diгectory и предоставляет им права доступа к ресурсу на этом сервере. Это может понадобиться в ситуации, когда владелец при­ложения выдал права локального администрирования единственному серверу и ни­чему больше. Тогда администраторы могут создать локальные группы и наполнить их группами и пользователями домена. Администратор приложения может открыть общий доступ к своему приложению членам домена, без необходимости в наличии каких-либо прав администрирования домена.
4. Вы также заметите, что группа BIGFIRМDomain Users присоединит пользова­
теля SRed в качестве члена. Щелкните на кнопке ОК (рис. 8.48).
Самое время взглянуть на добавление членов в группу с применением команд­
ной строки. Для этого снова будет использоваться команда net localgroup:
net localgroup Fileshare SRed /add
Приведенная команда добавляет пользователя в группу. Синтаксис команды до­
вольно прост:
net localgroup Fileshare /add
Следующая команда добавляет группу Domain Users из домена BigFirm в новую
локальную группу:

Рис. 8.48. Потенциальное новое членство в группе
Рис. 8.49. Членство пользователя в группах
Помните вкладку Member Of (Членство в группах) в диалоговом окне свойств
локальной учетной записи пользователя? А теперь посмотрим на диалоговое окно свойств учетной записи пользователя SRed, показанное на рис. 8.49.
Как видите, членство пользователя в группах было обновлено. Здесь вы можете
так же легко добавить пользователя Steve Red в группу. Вас попросили добавить
пользователя Steve Red в локальную груnпу Administrators. Это сделает его ад­
министратором этого и только этого сервера.
1. Щелкните на кнопке Add (Добавить), в результате чего откроется диалоговое
окно, представленное на рис. 8.50.
2. Введите имя группы, в которую хотите добавить этого пользователя, и затем
щелкните на кнопке Check Names (Проверить имена), чтобы удостовериться в
корректности имени груnпы.
Обратите внимание, что локальные учетные записи пользователей можно до­
бавлять только в локальные группы, но не в группы домена.
Список членства в группах для локальной учетной записи пользователя теперь
обновился (рис. 8.51 ).

Рис. 8.51 . Обновление членства пользователя в группах
Рис. 8.52. Удаление пользователя из локальной группы
3. Щелкните на кнопке ОК, чтобы сохранить изменения.
Единственный способ воспроизведения этого в командной строке предусматри­
вает манипулирование самой группой, а не пользователем:
net localgroup aclministrators SRed /add
Удаление пользователя
Удалить пользователя из локальной группы также легко. Делать это можно одним
из перечисленных далее способов.
• Использование учетной записи пользователя. Применяйте учетную запись
пользователя, если это одноразовая операция или если вы удаляете несколько
прав доступа у какого-то пользователя.
• Использование группы. Применяйте группу, если вы удаляете идентичные
права доступа у нескольких пользователей.
Теперь мы покажем, каким образом модифицировать членство в группе
Fileshare путем удаления из нее пользователя Steve Red.
1. Откройте диалоговое окно свойств группы Fileshare (рис. 8.52).
2. Выберите пользователя SRed.
Удерживая клавишу или , можно выбрать более одного члена с
целью их удаления.
3. Выделив члены, подлежащие удалению, щелкните на кнопке Remove
(Удалить).
На этом все; ничего другого мя удаления члена из группы предпринимать не при­
дется. Следующая команда удалит пользователя Steve Red из группы Fi leshare:
net localgroup fileshare SRed /delete

Чтобы удалить группу с использованием оснастки М МС, выполните следующие
шаги.
1. Найдите нужную группу.
2. Щелкните правой кнопкой мыши на группе и выберите в контекстном меню
пункт Delete (Удалить).
Обратите внимание на диалоговое окно, показанное на рис. 8.53, которое откры­
вается при удалении группы. Оно сообщает, что удаление повлияет на множество
пользователей или компьютеров, которые являются членами этой группы.

Рис. 8.53. Запрос о том, действительно ли вы уверены в удалении группы
Сновд ВРЕМЯ ПОВЫШЕННОГО ВНИМАНИЯ
Это настолько важно, что стоит повторить: хотя вы видите пользователей, компью­
теры и группы как относительно дружественные имена, такие как SRed, SERVEROl
или Fileshare, со стороны Wmdows они распознаются по-другому. Уникальная
идентификация этих участников безопасности осуществляется с помощью SID.
Идентификатор SlD создается каждый раз, когда создается новый участник безопас­ности. Это значит, что в случае создания учетной записи SRed, ее удаления и пов­торного создания Windows будет трактовать старый и новый объекты как два разных участника безопасности, хотя вы считаете их одним. В результате разрешения, на­значенные старой учетной записи, в новой учетной записи отсутствуют.
Во всплывающем окне на рис. 8.53 предупреждается об этом. Вы должны быть на
сто процентов уверены в том, что организации больше не нуждается в участнике бе­зопасности, прежде чем удалять его. Следует помнить, что после удаления группы теряются назначенные ей разрешения, а также членство в группе. Любой пользова­
тель, которому были выданы права доступа к определенному ресурсу посредством
членства в данной группе, утратит доступ к этому ресурсу.
Приведенная ниже команда net localgroup удалит группу Fileshare безо всяких
предупреждений или запросов на подтверждение:

Группы Active Directorv

Базовые концепции групп Active Directory или домена и локальных групп не от­
личаются. Они применяются для коллективного обращения к нескольким объек­
там идентичным способом. Однако с группами Active Directory можно выполнять
намного больше операций. Это становится возможным из-за того, что группы та­
кого типа хранятся в Active Directory на контроллерах домена, подмножество котарых сконфигурировано как глобальный каталог. В результате единственная группа
может содержать многих участников безопасности домена, подобных пользователям
и компьютерам, и использоваться всеми компьютерами внутри домена, к которому
эта группа принадлежит. В действительности группы можно применять за предела­
ми их доменов, и существует даже категория групп, которые могут содержать членов
из любого домена в лесе.
Для uелей этого раздела вы должны полагать, что когда мы упоминаем группу, то
имеем в виду группу Active Directory. Есть два базовых типа групп.
• Группа рассылки (distribution group). Группа рассылки используется для объ­
единения вместе нескольких объектов с uелью коллективной адресаuии.
Почтовый сервер вроде Microsoft Exchange может предостамять пользователям
группу рассылки как целевой адрес. Пользователь может отправить сообще­
ние группе рассылки и почтовый сервер попытается разослать его всем членам
.группы при условии, что они имеют настроенные адреса электронной почты.
• Группа доступа (security group). Группа доступа также может выполнять функ­
uию почтовой рассылки. Но основная uель этого типа групп, как должно быть
понятно из названия, связана с доступом. Группу доступа можно применять
для назначения разрешений или прав доступа к объекту или множеству объек­
тов, таких как организационная единиuа, папка или компонент приложения.
Это позволяет Active Directory стать не только единым механизмом аутентифи­
кации для сети, но также механизмом авторизации. Конечный пользователь
может использовать единственную учетную запись для получения авторизации
к защишенным ресурсам по всему лесу Active Directory, а не только в домене
или каком-то одном компьютере.
Различают три области действия групп.
• Локальная группа домена (domain local group). Локальная группа домена предна­
значена для применения только внутри домена, в котором она была создана.
Она может содержать учетные записи пользователей/компьютеров, глобальные
группы и универсальные группы из любого домена в лесе, а также локальные
группы из того же самого домена.
• Dюбальная группа (global group). Это стандартная область действия при созда­
нии группы в Active Directory. Глобальная группа может использоваться ком­
пьютерами внутри домена, которые являются его членами, а также членами
других доменов в лесе Active Directory. Она может содержать учетные записи
пользователей/компьютеров из домена, в котором была создана.
• У ниве рсальная группа (universal group). Одна черта универсальных групп делает их
весьма отличающимися от групп других двух типов. Группы других дnух типов
хранятся и реплицируются на все контроллеры внутри домена, в котором они
были созданы. Универсальная группа хранится на контроллерах домена, скон­
фигурированных в качестве глобального каталога. Это мияет на то, как универ­
сальная группа реnлиuируется в домены по всему лесу. В результате появляется
возможность не только использовать универсальную группу всеми компьютера­
ми в лесе, но и помещать в нее члены из любого домена внутри леса.

КРАТКОЕ ПРЕДОСТЕРЕЖЕНИЕ ОТНОСИТЕЛЬНО УНИВЕРСАЛЬНЫХ ГРУПП
При проектировании универсальной группы в крупных средах необходимо прояв­лять крайнюю осторожность, т.к. возникает дополнительная нагрузка репликации, когда группа создается или модифицируется. Active Directory будет реплицировать только изменения в универсальных группах, однако будьте аккуратны, чтобы не до­пустить масштабных изменений. Кроме того, необходимо удостовериться в том, что контроллеры домена с глобальным каталогом находятся близко к службам, на кото­рые они интенсивно полагаются.
В сетях с единственным доменом особо переживать по поводу универсальных групп не придется, поскольку они применяются не слишком часто. Универсальные группы могут содержать учетные записи пользователей / компьютеров, глобальные группы и
другие универсальные группы из любого домена в лесе.
Возможно, вы отметили один аспект. Группы могут содержать другие группы.
Обычно это называют вложением групп. Для чего вкладывать группы друг в друга?
Ниже описаны два аргумента в пользу этого.
+ Одновременное управление несколькими rруппами. Представьте, что у вас
есть группы под названиями Accounts Management (Управление расчет­
ными счетами) и Sales Management (Управление продажами). Вы хотите
иметь возможность работать с этими двумя группами одновременно, напри­
мер, предусмотреть для них один адрес электронной почты, который будет
трактоваться как контактный список. Для этого создайте группу по име­
ни Management (Управление) и поместите в нее в качестве членов группы
Accounts Management и Sales Management. Затем сконфигурируйте адрес
электронной почты для группы Management.
+ Управление орrанизациою1ыми еЩfНИЦаМИ в разных 6
отделах. В другом сценарии (рис. 8.54) созданы
Bi g Firm
организационные единицы для разных отде-
лов; например, пусть имеется домен BigFirm,
который содержит организационные едини-
цы BigFirmAccounts и BigFi rmSales.
Существуют два уровня IТ-обслуживания.
В BigFirm имеется отдел ГГ, который отвечает
за Active Directory и корпоративные функции
Именно в этом отделе вы работаете. В органи­зационных единицах Accounts и Sales при­сутствуют небольшие бригады п; которые управляют только внутренними объектами в своихOU. Это называется делегированием. Вы хотите получить возможность создания
группы по имени Management, которая будет содержать начальников всех отде­
лов. Вы не планируете управлять этими членами, а взамен поручить делать это 1Т —
персоналу внутри отделов. Создайте группу Accounts Management в BigFirm
Accounts и группу Sales Management в BigFirmSales. Это позволит IТ­
персоналу внутри отделов управлять двумя указанными группами. Создайте груп­
пу Management в BigFirm. Теперь можете добавить группы, предназначенные
для IТ-персонала внутри отделов, в качестве членов группы Management.
Как видите, группы Active Directory позволяют несколько большее, чем локаль­
ные группы. Перед созданием группы важно осознавать, по какой причине она со­
здается, и как будет использоваться. Области действия и типы групп можно изме­
нять, но вы должны понимать, какое влияние это окажет.
Например, смена типа группы с глобальной на универсальную изменит репликацию Active Directory с выполняющейся между контроллерами домена внутри доме­ на на репликацию, проводимую между серверами глобального каталога через целый
лес. Дополнительный объем планирования определенно стоит потраченных на него
усилий, как вы увидите по мере чтения остального материала данной книги. Со вре­
менем вы обнаружите, что применяете группы для самых разнообразных uелей:
• назначение разрешений общим файловым ресурсам;
• создание почтовых групп рассылки, содержащих члены из всего корпоратив­
ного леса;
• назначение прав доступа для развертываемых операuионных систем;
• управление тем, какие компьютеры будут получать автоматизированное раз­
вертывание Microsoft Visio;
• управление тем, на кого будет нацелен объект групповой политики (Group
Policy);
• делегирование административных прав части Active Directory.
Вам может показаться, что конuепuия вложения групп является слишком слож­
ной и трудно разрешимой. Когда вы объедините ее с описательным стандартом
именования для своих групп, вы сможете сформировать механизм групп, который
очень прост в развертывании и управлении и делает возможным детализированное
делегированное функций администрирования.
Создание групп Active Directory
Самое время создать какие-нибудь группы Active Directory. Предположим, что вы
хотите создать группу, которая будет использоваться только внутри домена. Она будет
применяться для назначения прав доступа любому, кто является руководителем в ор­
ганизации. Такое описание говорит о том, что вам нужна область доступа локальной
группы домена и тип группы доступа. Ранее вы создали организационную единиuу
под названием BigFirmSecuri ty Groups внутри домена bigfirm. com.
1. Откройте оснастку Active Directory
Users and Groups.
2. Щелкните правой кнопкой мыши в цен­
тральной панели и выберите в контекс-
тном меню пункт New Group (Создать
группу). Откроется диалоговое окно New
Object — Group (Новый объект — группа).
3. Введите Managemen t в качестве име­
ни группы. Это автоматически запол­
нит поле имени группы для версий,
предшествующих Windows 2000 Server
(рис. 8.55), которое поддерживается в
целях обратной совместимости с унасле­
дованными операционными системами.

4. Выберите переключатель Domaiп local
(Локальная домена) в разделе Group
scope (Область действия группы) и
оставьте выбранным переключатель
Security (Доступа) в разделе Group type
(Тип группы).
5. Щелкните на кнопке ОК, чтобы создать
группу.
Вероятно, вы заметили, что во время со­
здания группы отсутствовала возможность
редактирования ее свойств. Вполне вероятно,
что вы хотите добавить описание и члены в
группу. Для этого щелкните правой кнопкой
мыши на имени группы и выберите в кон­
текстном меню пункт Properties (Свойства),
Management Propertles
чтобы открыть диалоговое окно Maпagemeпt
Рис. 8.56. Добавление описания группы
Properties (Свойства Management ) , представ-
ленное на рис. 8.56.
Вы уже вводили описание для группы. Такой вид документирования позволя­
ет администраторам немедленно понять, для чего предназначена группа. Мы об­
суждали необходимость в наличии описания при рассмотрении локальных групп.
Документирование подобного рода становится бесконечно более важным в средах
Active Directory средних и больших размеров, где могут существовать множество
бригад администраторов, работающих с серверами.
СТАНДАРТЫ ИМЕНОВАНИЯ ГРУПП
Если домен будет разрастаться до крупных размеров или станет частью леса, то при
именовании групп важно выбрать какой-нибудь стандарт и неуклонно придержи­
ваться его. Вспомните, что группы могут использоваться rде угодно внутри домена
или даже леса Active Directory. При наличии всего лишь двух доменов может подде­
рживаться большая база данных пользователей и сложная организация. Насколько
значащим можно считать имя Management в организации, содержащей сотни или
тысячи пользователей? А что скажете о корпоративном или правительственном лесе
с множеством доменов и десятками тысяч сотрудников? Имя Managemen t, вероят­
но, подойдет для малой или средней организации с единственным сайтом и неболь­
шой бригадой П -специалистов.
Если вы работаете в организации с множеством отделов или сайтов, можете обдумать
создание групп Milan-Accounts Management и Milan-IT Management, например.
Они делают очевидным тот факт, что каждое имя группы ассоциировано с офисом
в городе Милане, а члены группы входят в состав руководства отдела. При наличии
множества доменов в лесе можно было бы предусмотреть группу вроде BigFirm­
Milan-Senior Management. Любому администратору в любом домене внутри леса
известно, что это группа из домена BigFirm, а ее <mены работают в офисе в Милане,
к тому же все члены входят в состав старшего руководства в данном офисе.

Мы также рекомендуем добавлять к имени группы какой-то префикс, отражающий
тип этой группы, например, DL для локальной группы домена, DG для глобальной
группы домена или UG для универсальной группы. В итоге получается имя группы
вида DG-IT-Managernent-Milan или DL-IT-Management-Milan. Это позволит лег­
ко различать типы rpyrm, что может быть удобно при поиске групп или указании их
в сценариях:.
В нижней части вкладки General (Общие) отображается тип и область действия
группы. Вы можете заметить, что их разрешено изменять. Тем не менее, есть несколь­
ко соображений, которые должны быть учтены, прежде чем вносить здесь изменения.
Изменение типа группы с доступа на рассылки означает, что она больше не смо­
жет применяться для назначения разрешений. Вам выдается предупреждение о том,
что любые разрешения, назначенные этой группе, могут прекратить свое функцио­
нирование. Это особенно важно, если посредством этой группы вы запрещаете до­
ступ к критическим ресурсам.
Мы протестируем, как это работает на общих файловых ресурсах, открыв доступ
к папке с использованием группы доступа и добавив в нее несколько членов. Мы
также применили разрешения к этой папке в файловой системе. Далее мы прове­
рили, что члены группы имеют доступ к общему ресурсу и все работает должным
образом. Затем мы изменили тип группы, сделав ее группой рассылки. Мы прове­
рили разрешения общего ресурса и папки, и группа рассылки по-прежнему имеет
права доступа к нему. Тестирование доступа пользователя показывает, что пользо­
ватель все еще располагает правами доступа к этой папке. Пока все хорошо. Затем
пользователь вышел из системы и снова вошел. И вот тут пользователь теряет права
доступа. Группа, ставшая группой рассылки, по-прежнему располагает правами, но
они больше не действуют. После этого мы возвратили тип группы обратно, сделав
ее группой доступа. Чтобы удостовериться в возобновлении доступа пользователя к общему ресурсу, нужно еще раз выйти и войти в систему.
Такое поведение вовсе не должно считаться плохим — ничуть. Давайте подумаем
о сценарии, когда есть много глобальных групп доступа, которым бьuш назначены где-нибудь разрешения на доступ к каким-то общим ресурсам. Вы даже не можете вспомнить, где делались назначения этой группы. Вы принимаете все меры, что­бы выяснить, где эта группа находится и к какому общему ресурсу она принадле­жит. Позже вы решаете удалить эту группу, поскольку думаете, что она больше не используется. В такой ситуации вы могли бы просто изменить ее тип на группу рас­сылки, и все разрешения станут неактивными. Это означает, что группа в какой-то мере отключена. Если спустя некоторое время пользователи начнут жаловаться на отсутствие у них доступа к общему ресурсу XYZ, следовательно, группа все еще экс­плуатируется. Мы сознаем, что подход с вовлечением пользователей нельзя назвать особо гладким, но во многих случаях просто нет другого выхода.
Любое действие, которое будет влиять на членов группы, обычно требует от
пользователя выйти и снова войти. Вот уже третий раз в данной главе мы заявляем:
это определенно было решением практически всех вопросов с членством в группах
и назначением прав доступа, с которыми нам приходилось сталкиваться в своей
работе. Помните о нем, когда выдаете пользователю права доступа к ресурсу, до­бавляя его в группу.

Рис. 8.57. Добавление новых членов в
группу Active Directoгy
Вы не можете изменить группу, являю­щуюся локальной группой домена, чтобы
превратить ее в глобальную группу, или на­оборот. Однако вы можете поменять область действия группы, сделав ее универсальнойгруппой. После этого вы сможете изменить ее либо на локальную группу домена, либона глобальную группу. Удостоверьтесь в том, что список членов не конфликтует с предпо­читаемой областью действия группы. Если вы изменяете область действия группы с гло­бальной на локальную домена, то должны быть уверены, что группа не используется в другом домене. Изменение может привести к утере доступа к защищенным ресурсам для членов группы. Администраторы в крупныхреализациях лесов должны давать себе отчет,что преобразование существующей группы в универсальную группу потенциально увели­чивает трафик репликации глобального каталога.
Функциональность членства в группах домена и в локальных группах работает
похожим образом. Откройте диалоговое окно свойств группы (рис. 8.57). Добавлять
и удалять члены можно посредством кнопок Add (Добавить) и Remove (Удалить).
На рис. 8.58 видно, что группы домена способны содержать большее число типов
объектов, чем локальные группы; новые типы описаны ниже.
• Other objects (Другие объекты). Это гибкое решение позволяет добавлять чле­
ны, которые создаются приложениями, т.е. это не обычные пользователи, ком­
пьютеры или группы.
• Contacts (Контакты). Такие объекты создаются в Active Directory для хранения
контактной информации о людях или организациях. Это могло бы использо­
ваться для групп рассылки.
• Service accounts (Учетные записи служб). Это новая возможность Windows
Server 2012, позволяющая настраивать выделенные учетные записи служб
вместо создания учетных записей пользователей и назначения их службам.
OЬJect Types
Рис. 8.58. Выбор типов объектов для потенциальных членов

Поскольку вы имеете дело со списком членов группы домена, вы не можете
добавлять участников безопасности, основанных на локальной машине, т.е. ло­
кальных пользователей или локальные группы. Такие участники безопасности су­
ществуют только на своем компьютере, поэтому нет никакого смысла добавлять
их группу уровня домена или леса. По этой причине диалоговое окно Locatioпs
(Местоположения), показанное на рис. 8.59, предлагает только домены, которые су­ществуют в лесе.

Рис. 8.59. Выбор местоположения для нового объекта члена
Группы домена можно вкладывать друг в друга; другими словами, группа может
быть членом другой группы. Членством группы в других группах можно управлять
на вкладке Member Of (Членство в группах), приведенной на рис. 8.60.
Вкладка Managed Ву (Управляется), показанная на рис. 8.61, обладает интересной
новой возможностью. Будучи администратором, возможно, вы не имеете понятия,
по какой причине осуществляется доступ к защищенным данным. У вас достаточно
возможностей, чтобы войти в сеть, не говоря уже о том, чтобы знать о полных биз­
нес-операциях. Решение лучше всего принимать владельцу данных, обычно началь­
нику отдела или ведущему специалисту бригады.
Management Propert!es

Рис. 8.61 . Вкладка Managed Ву для
группы Active Directory

Как часто (но не всегда) выглядит наилучшее решение? Вы можете передать все
полномочия по контролю доступа в руки мадельца данных. Устраните посредника,
в данном случае IТ-специалиста. Если владелец данных может управлять доступом к
ресурсу, то бизнес сумеет приспособиться к возникающим требованиям.
Вкладка Managed Ву позволяет выбрать пользователя или группу в качестве вла­
дельца данной группы. Этой группе можно назначить права доступа к ресурсам.
Но самое интересное мы оставили на закуску. Выбранному владельцу можно вы­
дать права на управление членством в группе, отметив флажок Manager сап update
membership list (Руководитель может обновлять список членства). Великолепно!
Вы не должны выдавать права руководителя для управления правами доступа к
общей папке. Можете ли вы представить себе, какие бедствия возникли бы в ре­
зультате этого? Простое решение заключается в том, чтобы позволить руководи­
телю управлять членством в группах, которые имеют права доступа к общей пап­
ке. Понадобится всего лишь предоставить механизм для редактирования членства
в группах, такой как оснастка Active Directory Users and Computers, сценарий или,
возможно, веб-аплет.
Создание группы в командной строке
Важно освоить управление группами из командной строки. Сначала мы посмот­
рим, как создать группу, используя команду dsadd gro u p . Справку по этой команде
можно получить следующим образом:
dsadd group /?
Ниже приведена простая команда, которая воссоздает то, что можно делать с по­
мощью графического пользовательского интерфейса. Она создает локальную группу
домена под названием Management внутри организационной единицы BigFirm
Security Groups в домене bigfirm. com.
dsadd group «CN=Management,OU=Security Groups,OU=BigFirm, DC=Ьigfirm, DC=com»
-scope 1
Вот синтаксис команды:
dsadd group -scope
По умолчанию создается группа доступа. Если необходимо создать глобальную
группу, опцию -scope можно не указывать. Глобальная группа рассылки создается
так:
dsadd group «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=com»
-secgrp no -scope g
Изменение в синтаксисе выглядит следуюшим образом:
-secgrp
По умолчанию создается группа доступа, т.е. опцию -secgrp можно опустить,
если это и требуется.
Помните ли вы, что в графическом пользовательском интерфейсе мя создания
групп домена премаrалась только возможность создать группу и ничего больше?
Дnя установки свойств или добавления членов приходилось открывать диалоговое
окно свойств группы.

В командной строке можно воспользоваться следующей командой:
dsadd group «CN=Senior Management, OU=Security Groups, OU=BigFirm,
DC=Ьigfirm, DC=com» -scope g -desc «This g:::oup contains senior nanagers»
-memЬerof «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=com»
-members «CN=Steve Red, OU=Users , OU=BigFirm, DC=t:igfirm, DC=com»
«CN=Simona Corso, OU=Users, OU=BigFirm, DC=Ьigfirm, DC=com»
Эта команда выполняет довольно много действий. В организационной единице
Securi ty Groups (Группы доступа) создается глобальная группа доступа по имени
Senior Managernent (Старшее руководство). В качестве описания группы указы­
вается строка This group contains senior rnanagers (Эта группа содержит стар­
ших руководителей). Группа Senior Managernent добавляется в виде члена в группу
Managers. И, наконец, в новую группу Senior Managers добавляются два пользо­
вателя.
Для модификации существующей группы применяется команда dsrnod. Вот как
получить справочную информацию по ней:
dsmod group /?
Показанная ниже команда добавляет пользователей Steve Red и Sirnona Corso в
группу Managernent:
dsrnod group «CN=Management,OU=Security Groups,OU=BigFirm, DC=Ьigfirm, DC=com»
-addrnbr «CN=Steve Red, OU=Users, OU=BigFirm, DC=Ьigfirrn, DC=com»
«CN=Simona Corso, OU=Users, OU=BigFirrn, DC=Ьigfirm, DC=corn»
Синтаксис выглядит следующим образом:
dsrnod group
-addrnbr
А вот как удалить пользователя Steve Red из группы:
dsmod group «CN=Management, OU=Security Groups, OU=BigFirrn, DC=Ьigfirm, DC=com»
-rmmbr «CN=Steve Red, OU=Users, OU=BigFirm, DC=Ьigfirrn, DC=com»
С помощью приведенной далее команды можно очистить существующий список
членов группы и добавить список на замену:
dsmod group «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=com»
-chrnЬr «CN=Steve Red, OU=Users, OU=BigFirm, DC=Ьigfirm, DC=corn»
Посредством следующей команды можно изменить область действия группы,
сделав ее универсальной:
dsmod group «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=co:n»
-scope u
Вот синтаксис опции -scope:
-scope
К сожалению, с помощью команды dsmod group нельзя установить свойства ру­
ководителя для группы.
Каким образом удалить группу? Это очень легко:
dsrm «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьig firm, DC=com»
Эта команда удалит группу Management. Она запрашивает подтверждение удале­
ния. Пропустить такой запрос можно следующим образом:
dsrm «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьig firm, DC=com»
-noprompt

Задачи администрирования. выполняемые в понедельник утром

А теперь мы рассмотрим распространенные операционные задачи, которые могут
делаться на регулярной основе. Наш опыт показывает, что любой сотрудник службы
поддержки обнаружит, что утро каждого понедельника расходуется на выполнение
этих задач, если механизм аутентификации спроектирован недостаточно тщательно.
Чтобы понять, что мы имеем в виду, почитайте еще раз обсуждение кодовых фраз
и смарт-карт ранее в этой главе. Мы рассмотрим участников безопасности домена,
поскольку именно они отнимают большую часть времени.

Забытые пароли

Первая задача имеет отношение к сотруднику, который не может запомнить свой
пароль. Обычно это самая частая причина обращения в службу поддержки после
выходных. Давайте посмотрим, как сбросить пароль для пользователя. В конце кон­
цов, пользователь является вашим заказчиком, и вы должны обеспечить для него
качественное и своевременное обслуживание.
1. Если вы пользуетесь графическим интерфейсом, перейдите к учетной записи
нужного пользователя внутри оснастки Active Directory Users and Computers.
2. Щелкните правой кнопкой мыши на имени пользователя и выберите в кон­
текстном меню пункт Reset Password (Сбросить пароль), чтобы открыть диа­
логовое окно Reset Password (Сброс пароля).
3. Введите новый пароль для пользователя, как показано на рис. 8.62
Новый пароль должен удовлетворять политикам паролей, которые применяются
к пользователю. Необычность ситуации в том, что вы собираетесь диктовать этот
пароль пользователю по телефону. Согласно нашему опыту, вы должны выбрать та­
кой пароль, который легко продиктовать. Будьте осторожны, т.к. вы можете иметь
дело с людьми, для которых родным языком является не английский. Пароль напо­
добие Password123456789 легко сообщить по телефону, и он удовлетворяет стан­дартным требованиям к паролям.

Enter User Password :
Введите пароль для пользователя:
Confi rm user password :
Подтвердите пароль для пользователя :
dsmod succeeded : CN=Steve Red, OU=Users , OU=BigFi rm, DC=Ьigfirm, DC=com
dsmod выполнилась успешно : CN=Steve Red, OU=Users , OU=BigFirm, DC=b.igfi rm, DC=com
Опция -pwd * указывает на то, что вы введете пароль и подтвердите его. В качес-
тве альтернативы пароль можно сбросить в самой команде:
dsmod user «CN=Steve Red, OU=Users , OU=BigFi rm, DC=Ьigfirm, DC=com»
-pwd Passwordl 2 3 4 5678
К любой из этих команд можно добавить дополнительную опцию, чтобы заста­
вить пользователя изменить свой пароль при следующем входе:
dsmod user «CN=Steve Red, OU=Users, OU=BigFi rm, DC=Ьigfirm, DC=com»
-pwd Passwordl 234 5678 -mustchpwd yes

Заблокированные пользователи

Ох уж эти политики блокирования паролей.» Подавляющему большинству «эк­спертов по безопасности», которых вы встретите в Интернете или лично, нравится
политика «три неудавшихся попытки входа в систему в течение 30 минут должны
приводить к блокировке учетной записи». Знаете что? Это отличный рецепт для
упрощения атаки типа «отказ в обслуживании». Получите на пару минут доступ к
настольному компьютеру внутри леса посредством учетной записи обычного поль­
зователя, и вы сможете запустить сценарий, который вмиг совершит по пять не­
удавшихся попыток входа для каждого пользователя в Active Directory. В итоге будут
заблокированы все пользователи кроме стандартных учетных записей администра­
торов домена. Бизнес-деятельность организации прекратится. Именно по этой причине настоящие эксперты по безопасности рекомендуют вам очень хорошо обду­
мать применение варианта блокирования для паролей. (Внутри врезки «Случай для
кодовых фраз» ранее в этой главе была описана альтернатива.) Как раз по этим со­
ображениям блокировки по умолчанию отключены в стандартной политике домена (Default Domain Policy). И по нашему мнению это очень хорошо. Тем не менее, не­которые организации включают данную политику. Они могут иметь веские основа­ния для этого. Следовательно, важно знать, каким образом разблокировать учетную запись пользователя. Отметим, что это определено в объекте стандартной групповой политики (GPO) домена внутри Active Directory. Стандартной настройкой в Windows Server 201 2 является О, т.е. не блокировать учетные записи пользователей после не­ удавшихся попыток входа.

два простых сценария блокировки
Первый сценарий связан с ситуацией,когда пользователь сообщил о том, что ком­пьютер проинформировал о его блокирова­нии. Ему известен пароль, поэтому сбрасы­вать его не придется. С помощью оснастки Active Directory Users and Computers найдите учетную запись пользователя и откройте для нее диалоговое окно свойств. Как показано на рис. 8.63, вкладка Account (Учетная запись) содержит сообщение, информирующее о том, что учетная запись заблокирована.
Решение очень простое — вы разблокируете
учетную запись. Конечно, пользователь вдо­бавок мог забыть свой пароль, и тогда его нужно будет сбросить.
Второй сценарий касается ситуации, когда знание пользователя о проблеме ограничива­ется тем, что он не может войти. Проблемможет быть две. Пользователь мог забыть
Рис. 8.63. Пользователь Active Directory заблокирован
свой пароль, или его учетная запись оказа­лась заблокированной. Вы должны убить двух зайцев одним выстрелом, имея дело с
обеими возможностями. Откройте диалоговое окно Reset Password (рис. 8.64).

The user mJlt Jogolf ;!lld then logan aglll»I for the cNnge to take effed
AccOtrt lodt.Ol.A smtus on ttu Domait Catroler: locXed О1А
Рис. 8.64. Разблокирование учетной
записи пользователя и сброс пароля
К сожалению. похоже, что способ разблокирования учетных записей в команд­
ной строке отсутствует — разумеется, исключая PowerShell.
Итак, мы раскрыли все возможности базового управления пользователями и
группами, которые являются общими для всех версий Windows Server. А теперь да­вайте посмотрим, что появилось нового в Windows Server 201 2.

Использование новых средств для управления пользователями и группами

Все, что обсуждается в данном разделе, применимо к версиям Windows Server
2008 R2, Windows Server 2012 и Windows Server 2012 R2. В Windows Server 2012 были внесены два значительных изменения, имеющие отношение к управлению пользо­вателями и группами.
• Центр администрирования Active Directory (Active Directory Administrative
Center — ADAC) был обновлен и построен поверх PowerShel. Кроме того,
в консоль были интегрированы новые средства, такие как корзина Active
Directory с графическим пользовательским интерфейсом и деталюированные
политики паролей.
• В ADAC бьu�а добавлена хронология PowerShel для более простого управления
и создания пользователей и групп, а также других объектов.
В Windows Server 2008 R2 уже был интегрирован инструмент PowerShell 2.0, и
в плане управления пользователями и группами каких-либо новых командлетоn в
Windows Server 2012 не появилось. Хотя в Windows Server 201 2 интегрирован новый
инструмент PowerShell 3.0, а в Windows Server 2012 R2 — PowerShel 4.0, большинс­
тво новых командлетов, связанных с Active Directory, предназначены для управления
компонентами Active Directory, а не пользователями и группами.
Тем не менее, по ссылке http : //tinyurl . com/Sotmff можно загрузить бес­
платные команды PowerShell для Active Directory от Quest (Free PowerShell Commands
for Active Directory). Эти командлеты обладают синтаксисом, похожим на синтаксис
встроенных командлетов Windows Server 2012, но в некоторых отношениях предла­
гают чуть лучшую поддержку и гибкость, например, при доступе к атрибутам поль­
зователей. В настоящем разделе мы рассмотрим встроенные командлеты PowerShell
в Windows Server 2012.

Центр администрирования Actlve Directorv

Разработчики из Microsoft расширили и привели в порядок графический поль­
зовательский интерфейс нового центра администрирования Active Directory, сделав
его больше ориентированным на задачи. Ходят слухи о том, что инструмент Active
Directory Users and Computers (Пользователи и компьютеры Active Directory), или
ADUC, в дальнейшем не будет поддерживаться, и основное внимание будет сосре­
доточено на Active Directory Administrative Center (ADAC). Тем не менее, в Windows
Server 2012 доступны оба инструмента, и один не может работать без другого. Мы
считаем ADUC унаследованным, а ADAC — будущим инструментом.
Стратегия Microsoft предельно ясна: PowerShell. Учитывая, что ADAC — это
просто графический пользовательский интерфейс для доступа к функциональности

PowerShell, полезно исследовать возможности данного инструмента. В Microsoft хо­тели предоставить инструмент для быстрого и простого выполнения часто повторя­ющихся задач, таких как обработка блокировок пользователей утром по понедель­никам. Инструмент ADAC доступен через меню Tools (Инструменты) диспетчера
серверов на контроллере домена Windows Server 2012.
Его можно также использоватьна компьютере Windows 8, на котором установлены инструменты дистанционно­го администрирования серверов (Remote Server Administration Tools) для Windows 8(http : / /www . microsoft . com/en-us /download/detail s . aspx? id=2 8 97 2).
Если на компьютере функционирует версия Windows 8. 1 , и вы хотите управ­
лять из него сервером Windows Server 201 2 R2, проследуйте по ссылке http : //
www .microsoft . com/en-us/download/details . aspx? id=392 96. Данный инс­
трумент загружается несколько дольше, чем Active Directory Users and Computers, так
что можете запускать его утром и оставлять в работающем состоянии до конца дня.

основные элементы ADAC

Открыв ADAC, вы увидите, что означает ориентация на задачи (рис. 8.65). В цен­
тральной панели находится интерфейс, специально предназначенный для сброса
паролей и разблокирования учетных записей пользователей. Это наиболее распро­
страненные задачи Active Directory, выполняемые персоналом п; так что их наличие
в инструменте имеет смысл.

Что бы происходило в отсутствие ADAC, когда пользователь позвонил в корпора­тивную службу поддержки с просьбой сбросить его пароль или разблокировать учет­ную запись? Техническим специалистам из службы поддержки понадобится найти этого пользователя в организационных единицах Active Directory. После этого они могут щелкнуть правой кнопкой мыши на имени пользователя, открыть диалоговое
окно его свойств и выполнить задачу. Это предполагает знание инженером службы
поддержки способа поиска в Active Directory. Кроме того, тратится также и время.
На рис. 8.65 видно, что с помощью ADAC инженер службы поддержки просто вводит имя пользователя и новый пароль. Флажок Unlock account (Разблокировать учет­ную запись) недоступен, т.к. эта учетная запись не заблокирована.
Инструмент ADAC также облегчает нахождение объектов службой поддержки.
На рис. 8.66 показано, что мя поиска объекта можно ввести его имя.

Рис. 8.66. Поиск объекта в Active Directory
На рис. 8.66 представлены результаты поиска. Вы видите, насколько легко было
найти объект пользователя SRed. Теперь инженер службы поддержки может щелк­
нуть правой кнопкой мыши на объекте пользователя и выполнить мя него необ­
ходимые задачи администрирования. Средство поиска довольно интеллектуально,
потому что оно ищет в атрибутах объекта, т.е. свойствах объекта. Инженер мог бы
искать S, Steve или Steve Red и все равно найти объект пользователя SRed. Поиск
совершенно не ограничивается объектами пользователей! Искать в домене можно
объект любого типа, такой как группы и компьютеры.
Чтобы добраться до средства Global Search (Глобальный поиск), щелкните на эле­
менте Global Search в навигационной панели слева. В панели справа отобразятся по­исковые опции средства Global Search.
Щелчок на раскрывающемся списке Add criteria (Добавить критерий) предостав­
ляет доступ к действительно мощным опциям мя уточнения поиска (рис. 8.67).
Взгляните на эти встроенные критерии и подумайте, насколько полезными они мо­гут оказаться. Каждое утро вы можете начинать с поиска заблокированных учетных
записей и разблокирования их до того, как сотрудники прибудут на свои рабочие
места. При рассмотрении локальных учетных записей пользователей мы рекомен­довали отключать учетные записи вместо немеменного их удаления. Чтобы устано­вить один из критериев поиска, отметьте флажок рядом с критерием и щелкните на
кнопке Add (Добавить).
На рис. 8.67 выбрана опция Users with enaЫed accounts who have not logged оп for
more than а given number of days (Пользователи с включенными учетными данными,
которые не входили на протяжении заданного количества дней).

Рис. 8.67. Потенциальный критерий поиска

В центре диалогового окна, показанного на рис. 8.68, видно, что вы можете вы­
брать количество дней из заранее определенного диапазона опций. Это очень удоб­
но. В идеальном случае отдел кадров должен связываться с IТ-отделом всякий раз,
когда сотрудник покидает компанию. Тем не менее, все мы люди, и все мы допус­
каем ошибки. Применяя такой поисковый запрос, вы можете идентифицировать
«просроченные» учетные записи пользователей и отключить их. Чтобы удалить кри­терий поиска, щелкните на значке х серого цвета справа.
Вы даже можете построить более сложный запрос, щелкнув на раскрывающемся
списке Add criteria. Например, типом объекта мог бы быть Computer (Компьютер), а имя объекта начинаться с В. Это значит, что вы получите результаты поиска, кото­рые не содержат объекты других типов наподобие групп, пользователей и организационных единиц.

Рис. 8.68. Нахождение всех пользователей, которые не входили в течение 1 5 дней

Щелкнув на небольшом значке с дискетой правее поля поиска, запрос можно
сохранить для последующего использования. Запросу назначается имя (лучше опи­
сательное), а доступ к нему осуществляется по щелчку на значке, расположенном
слева от значка с дискетой. Раскроется список всех сохраненных запросов. Выбор
сохраненного запроса приводит к его загрузке и выполнению.
После того, как объект найден, с ним необходимо что-то делать. Когда объект вы­
бран, в панели Tasks (Задачи) справа отобразятся контекстно-чувствительные действия.
Для управления выбранным объектом понадобится щелкнуть на одной из задач.

навигация в ADAC

Ознакомившись с основами, давайте начнем с изучения навигации в ADAC.
Навигационная панель имеет списковое представление (отображаемое по умолча­
нию) и древовидное представление. Списковое представление содержит предвари­
тельно выбранное множество местоположений, включая перечисленное ниже:
• область ADAC Overview (Обзор ADAC), с которой вы начинаете и в которой
можно быстро обработать базовые запросы пользователей и производить прос­
той поиск;
• домен, откуда можно переходить в любую организационную единицу или кон­
тейнер;
• контейнеры Users (Пользователи) и Computers (Компьютеры), rде в идеаль­
ном случае ничего не добавляется;
• инструмент Global Search, с которым вы уже знакомы.
Чтобы добавить другие местоположения, щелкните правой кнопкой мыши в на­
вигационной панели и выберите в контекстном меню пункт Add Navigatioп Nodes
(Добавить узлы для навигации). Откроется окно, в котором можно проходить по
структуре Active Directory (рис. 8.69).

• ,User (Создатьq Пользователь) в панели Tasks. Откроется диалоговое окно,
представленное на рис. 8. 72. Ого! Это огромное диалоговое окно поначалу может
слегка приводить в растерянность. Давайте осмотримся вокруг, прежде чем что-то
делать. Для начала упростим обстоятельства. Чтобы создание пользователя стало
возможным, вам необходимо заполнить только поля, помеченные символом звез­
дочки (*) красного цвета. Навигационная панель слева подсказывает, что данное
окно разбито на разделы. С помощью кнопки Sections (Разделы), находящейся в
правом верхнем углу, можно сворачивать или разворачивать эти разделы. Это поз­
воляет скрывать любые разделы, которыми вы никогда не пользуетесь. Инструмент
ADAC запомнит, какие разделы свернуты или развернуты .
Рис. 8. 72. Соэдание нового пользователя в ADAC
На рис. 8. 73 показано это же диалоговое окно, в котором были свернуты разде­
лы Orgaпizatioп (Организация) в центре окна и Епсгурtiоп optioпs (Параметры шиф­
рования) справа вверху. Кроме того, в нем заполнены поля, чтобы создать нового
пользователя по имени Kevin Greene. Вместо прохода по экранам мастера и затем
открытия диалогового окна свойств пользователя для завершения операции, все не­
обходимое можно сделать здесь. В этом диалоговом окне доступны все распростра­
ненные опции для настройки пользователя. Такое первоначально приводящее к рас­
терянности окно сокращает время, затрачиваемое на создание и конфигурирование
учетной записи пользователя.

На рис. 8.76 показано, что подобно диалоговому окну мя создания пользователя,
некоторые разделы можно сворачивать. Сейчас это и будет сделано.
Чтобы упростить представление, можете щелкнуть на кнопке Sections и свернуть
раздел Member Of (Членство в группах)

Давайте создадим группу по имени Helpdesk. На рис. 8.77 приведено запол­
ненное диалоговое окно для создания новой группы Helpdesk. Опять-таки, в этом
единственном диалоговом окне можно вводить большой объем информации, не
проходя по экранам мастера и затем редактируя свойства объекта группы.
Create r.roup: Helpde�k

Рис. 8.77. Создание группы Helpdesk в ADAC

Выполните перечисленные ниже шаги.
1. Введите имя группы и заполните поле Group (SamAccouпtName) (Имя учетной
записи SAM для группы).
2. Укажите тип и область действия группы.
3. Отметьте флажок Protect from accidental deletion (Защитить от случайного
удаления), чтобы эту группу нельзя бьuю непредумышленно удалить.
4. Укажите адрес электронной почты для распространения почты (это требует
совместимой почтовой службы).
5. Введите описание и примечания.
6. Укажите руководителя группы, который будет управлять членством в группе.
Теперь члены старшего руководства могут изменять членство в группе
Helpdesk.
7. Добавьте двух пользователей в группу Helpdesk.
8. Щелкните на кнопке ОК, чтобы создать группу.
Возвратившись в окно свойств объекта группы, можно отредактировать конфи­
гурацию или членство в группе (рис. 8.78).

Рис. 8. 78. Просмотр свойств объекта группы в ADAC
Как и со свойствами объекта пользователя, в диалоговом окне для создания объ­
екта группы атрибуты из раздела Exteпsioпs не видны.
В завершение работы с Active Directory Administгative Center мы приведем еще
несколько советов.
• Инструмент ADAC может быть остановлен только на машинах с Windows
Serveг 2012 и компьютерах с Windows 8, на которых функционируют Remote
Server Administrative Tools (RSAТ).

• Вы можете управлять доменами в своем лесе или в других лесах, связанных
доверительными отношениями, и вы располагаете для этого соответствующи­
ми разрешениями.
• В навигационной панели вы можете щелкнуть правой кнопкой мыши на име­
ни домена и посредством контекстного меню подключиться к другим конт­
роллерам доменов.
Это может делаться для выполнения работ на контроллере домена в другом
сайте с целью, например, управления локальными пользователями и получе­
ния немедленных результатов, не ожидая репликации меЖду сайтами.
• Чтобы можно было использовать ADAC для управления доменом, по крайней
мере, на одном контроллере этого домена должны быть установлены веб-служ­
бы Active Directory (Active Directory Web Services — ADWS).
Если вы устанавливаете контроллер домена Windows Server 2012, то службы
ADWS установятся и запустятся автоматически.
Они предоставляют интерфейсв виде веб-служб для управления Active Directory с помощью таких средств,как ADAC и PowerShell.
Внутри области ADAC Overview в ADAC вы найдете гиперссьшки на онлайновое
содержимое по ADAC и новым модулям PowerShell для управления Active Directory
с применением PowerShell.

Просмотр хронологии PowerShell

Вы могли заметить, что в ADAC имеется один новый раздел, который называ­
ется Windows PowerShell History (Просмотр хронологии PowerShell). По обыкнове­
нию он свернут, и если вы не осведомлены о нем, то будете спокойно работать в
ADAC, даже не подозревая о его существовании. Чтобы развернуть раздел Windows
PowerShell History, понадобится щелкнуть на кнопке со стрелкой, указывающей вниз
(рис. 8.79).

Рис. 8. 79. Отображение раздела Windows PowerShell History
На рис. 8.79 видно, что есть новый пользователь по имени Chris Greuter.
Непосредственно после щелчка на кнопке О К в диалоговом окне создания пользо­
вателя в хронологии PowerShel появляются команды PowerShell. Например, чтобы
создать простого включенного пользователя с минимальным вводом, запускаются
пять разных командлетов. Внимательно взглянув на эти команды, вы увидите, что
они предпринимают следующие действия.
1. Командлет New-ADUser настраивает базовую структуру объекта пользователя
без пароля. Вследствие этого учетная запись блокируется.
2. Командлет Set-ADAccountPassword устанавливает пароль для пользователя.
3. Командлет EnaЫe-ADAccount включает учетную запись пользователя, т.к. па­
роль бьш установлен.
4. Командлет Set-ADAccountControl устанавливает все параметры учетной за­
писи AD, которые расположены на вкладке Account (Учетная запись) диало­
гового окна свойств объекта пользователя. Эти параметры предназначены для
указания таких характеристик, как имеет ли пользователь возможность изме­
нять пароль либо истекает ли срок действия его пароля.
5. Командлет Set-ADUser устанавливает дополнительные параметры пользовате­
ля, вроде того, должен ли пользователь изменить пароль при следующем входе
или требуется ли для входа см арт-карта.
Именно так ADAC работает «за кулисами». Разумеется, если вы собираетесь со­
здать объект пользователя, то не будете запускать пять командлетов по отдельности;
вместо этого вы упакуете всю необходимую информацию в одну строку.
Нет разницы в том, создаете вы пользователя, группу или даже организацион­
ную единицу; инструмент ADAC регистрирует в этом окне каждый шаг PowerShell.
Чтобы просмотреть полные детали по каждой команде, можете щелкнуть на значке +
слева от командлета. Это приведет к разворачиванию всех параметров, как показано
на рис. 8.80.
Рис. 8.80. Развернутый командлет PowerShell
При желании можете щелкать на всех значках +, и ADAC обучит вас этим ко­
мандам. Разве это не хорошая возможность? На самом деле все даже еще лучше.
В верхней части раздела Windows PowerShell History расположены ссылки на различ­
ные действия. В поле Search (Поиск) можно искать определенную команду. По мере
набора панель результатов будет корректироваться согласно введенным данным в
этом поле.
Рядом с полем Search находятся ссылки на пять действий, а также ссылка Help
(Справка):
• С о р у (Копировать)
• Start Task (Начать задачу)
+ End Task (Завершить задачу)
• Clear All (Очистить все)
• Show All (Показать все)
Действие С ору позволяет скопировать полную строку команды из хронологии
PoweгShell с целью последующей ее вставки в окно редактора, такого как Notepad
(Блокнот). Можно даже выбрать несколько строк команд, щелкая на них при удер­
живаемой в нажатом состоянии кнопке , и затем щелкнуть на Сору.
Скорее всего, вы уже поняли, что этот небольшой раздел быстро заполняется,
и если необходимо отследить некоторое действие, то могут возникнуть проблемы
с выяснением, к какому шагу относится тот или иной командлет. По этой причине
могут использоваться действия Start Task, End Task и Clear All. Прежде чем начать,
удостоверьтесь в том, что флажок Show All, показанный ранее на рис. 8.79, не от­
мечен. Позже мы объясним, что он делает, но пока оставьте его неотмеченным и
выполните следующие шаги.
1. Щелкните на Clear All.
Это приведет к очистке всех команд в панели Windows PowerShell History.
2. Щелкните на Start Task. Откроется прямоугольная область, где необходимо
ввести значащее описание задачи, которую планируется выполнить, например,
New User (Новый пользователь).
3. Создайте нового пользователя в Active Directory с применением ADAC, щелк­
ните на кнопке ОК в диалоговом окне создания пользователя и затем щелкни­
те на End Task.
4. Щелкните на Start Task еще раз и введите в прямоугольной области описания
задачи Delete User (Удалить поль­
зователя).
5. Перейдите к ранее созданному поль­
зователю в ADAC и удалите его.
6. Снова щелкните на End Task. Вы
должны получить сгруппирован­
ное представление команд, как на
рис. 8.81.
Вы получаете не только структури­
рованный обзор в окне; скопиро­
вав команды внутрь редактора, вы
увидите, что описания New User и
Delete User добавлены к сценарию
в виде комментариев, что действи­
тельно удобно.
/WINDOWS POWERSHEU HISТORY
1 Seorrh Р Сору Start Task End Т asl,DC
13 Set-ADAccountControt

Рис. 8.81. Группирование команд PowerShell

Последней опцией является Show All. Если вы отметите этот флажок, в панели
Windows PowerShell History отображается больше команд.
7. Выберите организационную единицу BigFirmUsers и нажмите клавишу
, чтобы обновить ее содержимое.
Обратите внимание, что отобразились команды, которых вы ранее не nиде.ш.
Почему это произошло? Подумайте о следующем: инструмент ADAC построен
поверх PowerShell, так что когда вы обновляете организационную единицу, на
самом деле вы заставляете ADAC повторно запросить ее. В PowerShel это дела­
ется с помощью командлета Get-ADObj ect. Скорее всего, вам не нужно такое
обилие команд PowerSheI, поэтому лучше снимите отметку с флажка Show All.
Итак, вы ознакомились с основами создания объектов в PowerSheI. В следующем
разделе PowerShel будет рассматриваться более глубоко.

Модуль Active Directorv для Windows PowerShell

Модуль Active Directory дпя Windows PowerSheI позволяет выполнять операции
в командной строке и внутри сценариев с использованием нового языка оболочки
Microsoft. Подобно ADAC, он доступен только n Windows Server 201 2 и Windows 8
(с установленными инструментами Remote Server Administration Tools). Также подоб­
но ADAC, в домене, которым нужно управлять, должна быть установлена роль ADWS
хотя бы на одном контроллере домена. Чтобы обеспечить оптимальную произво­
дительность, на контроллерах домена Windows Server 2003 или Windows Server 2008
внутри сайта можно установить службу шлюза для управления Active Directory
(Active Directory Management Gateway Service; http : //tinyurl . com/yЫxwey).
Теперь мы рассмотрим, как управлять пользователями и группами с применением
данного модуля PowerShel. Мы опишем наиболее распространенные сценарии, но
настоятельно рекомендуем продолжить изучение этой темы на веб-сайте Microsoft:
http : //technet .microsoft . com/en-us/library/hh85227 4 . aspx
Вы не будете использовать обычное окно PowerSheI. Вместо этого необходимо
запустить модуль Active Directory для Windows PowerSheI через меню Admiпistrative
Tools (Администрирование) либо на контроллере домена Windows Server 2012, либо
на машине Windows 8 с установленными инструментами RSAТ.
В случае Windows Server 2008 R2 при открытии окна PowerSheI в первый раз по­
надобится загрузить модуль Active Directory с помощью следующей команды:
PS C : UsersAdministrator> Import-Module ActiveDirectory
В Windows Server 2012 ситуация более комфортная, т.к. этот модуль загружается
автоматически. Как только вы введете команду, которую оболочка распознает как
командлет Active Directory, модуль автоматически загрузится.
Базовые команды PowerShel для создания объектов Active Directory, подоб­
ных пользователям, группам, компьютерам, организационным единицам и т.д» в
Windows Server 2012 не изменились. Таким образом, если вы создавали сценарии с
помощью Active Directory для PowerSheI 2.0, они будут также работать в Windows
Server 2012 и Windows Server 2012 R2.

ОБНОВЛЕНИЕ СПРАВОЧНЫХ ФАЙЛОВ
Перед тем, как погружаться в исследования PowerShell 3.0/4.0, мы настоятельно ре­
комендуем обновить локально хранящиеся справочные файлы. Это легко делается
запуском командлета Update-Help. Он подключится к Интернету и загрузит пос­
ледние справочные файлы для текущих модулей, загруженных в оболочку, и для мо­
дулей, установленных в переменной среды PSModulePath. Сами справочные файлы
являются файлами САВ, содержащими ХМL-файлы, которые будут автоматически
извлечены и скопированы по соответствующему пути.
Хорошо, а как быть, если подключение к И нтернету отсуrствует? Вы можете вос­
пользоваться командлетом Save-Help, в котором указывается путь для сохранения
файлов. Вы просто переносите справочные файлы на отключенный компьютер и за­
пускаете команду, например, Update-Help -SourcePath С : Temp, чтобы импор­
тировать их на этот компьютер с устаревшими данными.
Доступен намного больший объем информации; если вы интересуетесь этой те­
мой, проследуйте по ссылке http: / /technet .microsoft . com/en-us/library/
hh849720 . aspx.

Соэдание пользователей

Давайте приступим к выполнению каких-нибудь операций по администрирова­
нию пользователей. Имеет смысл сначала создать пользователя. Для этого предна­
значен командлет PowerShell под названием New-ADUser:
PS C : UsersAdrninistrator> New-ADUser «Philipp Witschi»
Инструмент PowerShell содержит справку и примеры. Чтобы получить справку по
New-ADUser, введите следующую команду:
PS C: UsersAdrninistrator> Get-Help New-ADUser
Получить примеры применения командлета можно так:
PS C : UsersAdrninistrator> Get-Help New-ADUser -examples
Наконец, с помощью приведенной ниже команды можно извлечь более деталь­
ные сведения о командлете:
PS C: UsersAdrninistrator> Get-Help New-ADUser -detailed
Эти команды получения справки совместимы со всеми коман.плетами, поставля­
емыми модулями Microsoft в PowerShell. Есть еще несколько удобных моментов, на
которые стоит обратить внимание. Коман.плету можно указать флаг -whatif, чтобы
посмотреть, что произойдет, если он будет выполнен:
PS C : UsersAdrninistrator> New-ADUser PWitschi -whatif
What if: Performing operation «New» on Target «CN=PWitschi, CN=Users,
DC=Ьigfirm, DC=com»
В действительности ничего не делается; это всего лишь имитирует команду и
сообщает, каким был бы результат в случае запуска команды без флага -whatif.
Кроме того, можно указать на необходимость запроса подтверждения, прежде чем
выполнять команду. Это позволяет дважды обдумать набранную команду перед тем,
как ее запускать:

PS С : UsersAdministrator> New-ADUser PWitschi -confirm
Confirm
Are you sure you want to perform this action?
Performing operation «New» on Target «CN=PWitschi, CN=Users, DC=bigfirm, DC=com» .
[ У ] Yes [А] Yes to All [N] No [ L] No to All [S] Suspend [ ? ] Help
(default is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «New» на цели «CN=PWi tschi , CN=Users, DC=Ьigfirm, DC=com » .
[ У} Да [А} Да для всех [NJ Нет [L} Нет для всех [SJ Приостановить [ ?} Справка
(по умолчанию «У») :
Флаги -whatif и -confirm можно использовать во всех последующих примерах
комаНД11етов, чтобы иметь уверенность в том, что все совершаемые действия кор­
ректны.
Предыдущая команда New-ADUser создает нового пользователя PWi tschi н
стандартном местоположении для новых пользователей, которым обычно являет­
ся контейнер Users. Как утверждалось ранее, это не самое лучшее место для хра­
нения учетных записей пользователей. Здесь содержится несколько специальных
пользователей и групп, поэтому вы должны трактовать контейнер Users как спе­
циальный. Местоположением для учетных записей ваших пользователей является
BigFirmUsers. Если необходимо сконфигурировать некоторые свойства для
пользователя, можно поступить так:
PS С : UsersAdministrator> New-ADUser «Philipp Witschi»
-SamAccountName » PWitschi»
-GivenName «Philipp»
-Surname «Witschi»
-DisplayName «Philipp Witschi»
-Path ‘ OU=Users, OU=BigFirm, DC=bigfirm, DC=com ‘
-UserPrincipalName «PWitschi@bigfirm . com»
Ниже описаны флаги, указанные в команде.
-SamAccountName. Входное имя пользователя (до Windows 2000 Server). Напри­
мер, выше было указано PWi tschi, поэтому пользователь сможет войти, исполь­
зуя доменное имя BigFirmPWitschi.
-GivenName. Имя этого пользователя.
-surname. Фамилия этого пользователя.
-DisplayName. Данное свойство объекта пользователя хранит отображаемое имя.
-Path. Отличительное имя организационной единицы, где необходимо создать
новый объект пользователя. В этом случае указана организационная единица
BigFirmUsers в домене bigfirm. com.
-UserPrincipalName. Имя участника безопасности (UPN) — это входное имя
пользователя, имеющее похожую на адрес электронной почты форму.
Запустив приведенную выше команду, вы увидите, что в указанной организаuи­
онной единице создан новый пользователь. Вы также обнаружите, что этот пользо­
ватель отключен. Почему? Инструмент PowerShel требует явно указания на то, что
пользователь должен быть включен.

Зачем может понадобиться такой способ создания пользователя? Вы можете вы­
полнять большой объем работ по созданию множества учетных записей Д11Я поль­
зователей. Но вы не хотите, чтобы эти учетные записи были включены до того, как
связанные с ними люди окажутся готовыми использовать их. Когда этот момент на­
ступит, вы можете установить уникальный пароль Д11 Я пользователя и затем вклю­
чить учетную запись. PowerShell допускает подобную гибкость.

Установка паролей

Ведь вы не устанавливали пароль, не так ли? Вы и не обязаны делать это. Однако
при желании вы можете указать пароль с применением флага -AccountPassword.
Здесь есть одна загвоздка: флаг -Account Password требует ввода защищенной
строки, поэтому нельзя ввести просто Му PasswOrd. Вы должны создать защишен­
ную строку до создания пользователя. Для этого сушествует много способов; ин­
струмент PoweгShell весьма открыт в том, как можно решать ту или иную задачу.
Предположим, что вам нужно создать 10 объектов пользователей и установить
для них один и тот же пароль, а также включить пользователей. Кроме того, необ­
ходимо заставить пользователей изменить свои пароли при первом входе в систему.
Вот как можно поступить:
PS C: UsersAdministrator> $pw = Read-Host «Please Enter The Password»
-AsSecureString
Please Enter The Password: * * * * * * * * * * * * * * * * *
Введите п а роль: * * * * * * * * * * * * * * * * *
PS С : Users Adrninistrator> New-ADUser «Phil ipp W i tschi»
-SamAc:::ountName «PWitschi» -GivenName «Philipp» -Surname «Witschi»
-DisplayName «Philipp Witschi»
-Path ‘ OU=Users, OU=BigFirm, DC=bigfirm, DC=com ‘
-UserPrincipalName «PWitschi@bigfirm. com»
-Accou�tPassword $pw -EnaЫed 1 -ChangePasswordAtLogon 1
Первая строка предлагает администратору ввести пароль. Введенный текст бу­
дет преобразован в защищенную строку, которая затем сохраняется в переменной
$pw. С имвол $ указывает PoweгShell, что pw является переменной, т.е. контейне­
ром, где можно сохранять значение. КоманД11ет Read-Host запросит значение. Флаг
-AsSecureString преобразует введенное вами значение в защищенную строку.
З начение переменной $pw находится в памяти данного сеанса PowerShel до тех пор,
пока либо не будет перезаписано, либо не закроется окно PowerShell.
П осле запуска команды вам преД11агается ввести пароль. Введите легкую Д11Я пе­
редачи строку, которая удовлетворяет требованиям к сложности и Д11ине пароля.
В торая команда создаст пользователя. Ч тобы удовлетворить своим требованиям,
можно добавить несколько флагов.
-AccountPassword. Указывает на использование переменной $pw из предыдушей
команды. Позволяет передавать желаемый пароль Д11 Я нового пользователя в виде
защищенной строки.
-EnaЬle. П ринимает значение 1 (объект пользователя должен быть включен) или
О (объект пользователя должен быть отключен).
-ChangePasswordAtLogon. Принимает значение 1 (заставлять изменить паро.1ь)
или О (не застаолять изменить пароль).

В результате такой комбинаuии объект пользователя создается с заданным паро­
лем и во включенном состоянии, к тому же пользователю придется изменить свой
пароль, когда он первый раз входит в систему.
Запускать uелых две команды только для одного пользователя выглядит расто­
чительным, не правда ли? Однако с помощью этого подхода вы можете обеспечить
повторение второй команды для оставшихся девяти пользователей, которые необхо­
димо создать. Все 10 пользователей получать один и тот же пароль.
Если вы хотите создать только одного пользователя, то можете сделать все в
одной команде. Этот подход задействует всю мощь PowerShel. Запуск командлета
Read-Host можно вкладывать:
PS C : UsersAdministrator> New-ADUser » Philipp Witschi»
-SamAccountName «PWitschi» -GivenName «Philipp» -Surname «Witschi»
-DisplayName «Philipp Witschi»
-Path ‘ OU=Users , OU=BigFirm, DC=bigfirm, DC�com’
-UserPrincipalName «PWitschi@bigfirm . com»
-AccountPassword (read-host » Please Enter The Password»
-AsSecureString) -EnaЫed 1 -ChangePasswordAtLogon 1
Please Enter The Password: **********
Здесь вы заменяете переменную $pw командлетом Read-Host, которая применя­
лась в предыдущем подходе. Это приводит к тому, что команмет Read-Host выпол­
няется перед тем, как командлет New-ADUser может быть завершен, и затем требу­
емая защишенная строка передается в качестве значения флагу -AccountPassword.
Когда вы запустите данную команду, запрашивается пароль, после чего пользователь
будет создан.

создание множества пользователей за раз

Представьте, что вы работаете администратором Active Directory в университете.
Вероятно, у вас есть лес для учетных записей студентов. Ежегодно летом вы удаляете
все старые учетные записи студентов, после чего создаете новые учетные записи для
студентов, приступивших к учебе в первом семестре года. Вы имеете дело с задачей,
предполагающей создание десятков тысяч объектов пользователей. Действительно
ли вы собираетесь использовать для этого ADUC, ADAC или один из ранее пока­
занных примеров PowerShell? Мы надеемся, что вы не планируете применять такие
подходы.
Выполнить эту работу, приложив весьма небольшие усилия, можно с помощью
однострочной команды PowerShell. Вам понадобится создать файл значений с раз­
делителями-запятыми (comma-separated value — CSV) в Excel или в какой-то другой
программе редактирования электронных таблиu. Более сложная сеть может иметь
систему управления персоналом, которая позволяет создать такой файл через про­
uесс экспорта.
Файл CSV — это текстовый файл, который содержит строку заголовков, описы­
вающую значения, и последовательность строк, по одной на пользователя. Каждая
строка включает значения, которые описывают пользователя.
Ниже показано содержимое файла по имени users . csv, который можно ис­пользовать для создания трех пользователей.

NalDe
Samlccaun t
GivenName Sшnаше DisplayName Path
UserPrincipal Accoun t
Name Name Passwo:i:d
Rachel RКelly Rachel Kelly Rachel OU=Users, RKelly@
NewPasswOrd
Kelly Kelly OU=BigFirrn, Ьigfirrn. com
rx>Ьigfirrn,
OC=com
Ulrika UGerhardt Ulrika Gerhardt Ulrika OU=Users, UGerhardt@
NewPasswOrd
Gerhardt Gerhardt OU=BigFirrn, Ьigfirrn. com
OC=Ьigfirrn,
OC=com
Tomasz TKozlowski Tomasz Kozlowski Tomasz OU=Users, TKozlowski@
NewPasswOrd
Kozlowski Kozlowski OU=BigFirrn, Ьigfirrn. сот
OC=Ьigfirrn,
OC=com
Если вы откроете СSV-файл users . csv в редакторе Notepad (Блокнот), он будет
выглядеть примерно так:
Narne, SamAccountName, GivenNarne, Surnarne, DisplayNarne, Path, UserPrincipalNarne,
AccountPassword
Rachel Kelly, RKelly, Rachel, Kelly, Rachel Kelly, «OU=Users, OU=BigFirrn,
DC=Ьigfirrn, DC=corn» , RKelly@Ьigfirrn. com, NewPasswOrd
Ulrika Gerhardt, UGerhardt, Ulrika, Gerhardt, Ulrika Gerhardt, «OU=Users,
OU=BigFirrn, DC=Ьigfirrn, DC=corn» , UGerhardt@Ьigfirrn. com, NewPasswOrd
Tomasz Kozlowski, TKozlowski, Tomasz, Kozlowski, Tornaz Kozlowski,
«OU=Users, OU=BigFirm, DC=Ьigfirrn, DC=com» , TKozlowski@Ьigfirm.com,NewPasswOrd
ОБРАТИТЕ ВНИМАНИЕ НА СТРОКУ ЗАГОЛОВКОВ
В строке заголовков указаны те же самые флаги, которые применялись ранее с ко­
мандлетом New-ADUser. Строки, следующие за строкой заголовков в файле CSV, со­
держат значения для создания пользователей.
Теперь необходимо запустить команду, которая прочитает все строки файла с :
users . csv. Затем эта команда выполнит команДJiет New-ADUser, используя значе­
ния из файла. Вот эта команда:
PS C : UsersAdrninistrator> Import-CSV c: users . csv 1 foreach
{ New-ADUser -Name $ . Name -SamAccountName $ . SamAccountName
-GivenName $ . GivenName
-Surname $ . Surname
-DisplayName $ . DisplayName
-Path $ . Path
-UserPrincipalName $ _ . UserPrincipalName
-AccountPassword (ConvertTo-SecureString -AsPlainText $ _ .AccountPassword -Force)
-EnaЫed $true
-ChangePasswordAtLogon 1 )
Пусть размер этой команды вас не пугает и не запутывает. Как только вы разо­
бьете ее на компоненты, вы легко ее поймете.
Im.port-csv. Этот комаНДJiет PowerShell будет читать файл CSV, созданный ра­
нее и сохраненный как С : users . csv.

1 . Это символ конвейера. Часть мощи инструмента PowerShell связана с тем, что
он предостамяет вам возможность передавать результаты выполнения одного
командлета другому командлету. В рассматриваемом случае производится чтение
файла CSY и передача находящихся в нем данных следующей части команды.
foreach. Этот командлет получает содержимое файла CSY, который читается
как три элемента, точнее — три строки данных (исключая строку заголовков).
Командлет FOREACH будет выполнять задачу с применением каждой из этих
строк в качестве параметра.
New-ADUser. Вы уже знаете, что этот командлет создает пользователя. Но как
он получает значения для своих флагов’?
$_. Каждый флаг в командлете New-User требует значения. Как вам извес­
тно, значения в файле CSV указываются в соответствие со строкой заголов­
ков. Каждая из записей $ в команде ссылается на один из элементов в стро­
ке заголовков. Вы должны знать, что $ представляет объект в PowerShell, а
$ _ . Name — свойство Name этого объекта. Например, $
_
. Name ссылается на
заголовок Name в файле CSY. Таким образом, командлет New-ADUser получит
значение Rachel Kelly из первой строки и подставит его вместо $ _ . Name.
AccountPasword. Вы снова преобразуете пароль в защищенную строку, чтобы
удовлетворить требованиям этого флага.
Введенная команда прочитает три строки данных из файла CSV. Она загрузит
значения и создаст на их основе три объекта пользователей в организаuионной еди­
ниuе, указанной в файле CSV Пользователи получат пароли, будут включенными и при первом входе должны будут изменить свои пароли.
Вы можете совершенно свободно добавлять в этот файл CSV дополнительные
столбцы, соответствующие другим флагам в команде, чтобы в дальнейшем запол­
нять атрибуты объекта пользователя, такие как блуждающий профиль, домашняя
папка и т.д.
Используя такой подход, вы можете вручную или автоматически (посредством
какого-нибудь инструмента экспорта из системы управления персоналом) создать
файл CSV и затем запустить одну команду для создания множества учетных записей
для пользователей. Именно для этого предназначен инструмент PowerShell: упроще­
ние выполнения работы за счет автоматизации.

Разблокирование учетной записи пользователя

Инструмент PowerShell можно также применять для выполнения более призем­
ленной работы. Чтобы разбJ10кировать учетную запись пользователя, можно запус­
тить следующую команду:
PS C : UsersAdministrator> Unlock-ADAccount -identity SRed
С помощью флага -identi ty указывается имя объекта пользователя, подлежа­
щего разблокировке. В этом примере мы используем дружественное входное имя.
Для идентификаuии объекта пользователя может понадобиться указать имя DN:
PS C: UsersAdrninistrator> Unlock-ADAccount -identity «CN=Steve Red,
OU=Users , OU=BigFirm, DC=bigfirm, DC=com»

Сбросить пароль пользователя можно с помощью такой команды:
PS C : UsersAdrninistrator> Set-ADAccountPas sword -identity SRed -reset
-newpassword ( read-host » Please Enter The New Password»
-AsSecureString )
Please Enter The New Password : * * * * * * * * * *
В команд.лете Set-ADAccountPassword также применяется флаг -identity для
указания объекта пользователя, подлежащего управлению. Флаг -reset уведомляет
PowerShell о том, что производится не обычное изменение пароля, которое пред­
полагает знание старого пароля. Вместо этого вы хотите изменить пароль, пос­
кольку пользователь его попросту забыл. При этом снова используется команд.лет
Read-Host для чтения пароля и его преобразования в защищенную строку с целью
ее передачи флагу -newpassword в качестве значения.
Команд.лет Get-ADUser позволяет получить свойства объекта пользователя:
PS C : UsersAdrninistrator> Get-ADUser SRed
DistinguishedName
EnaЬled
GivenName
Name
Obj ectClass
Obj ectGUI )
SamAccountName
SID
Surname
UserPrincipalName
CN=Steve Red, OU=Users , OU=Bi gFirm, DC=bigfirm, DC=com
True
Steve
Steve Red
user
5fa7 f3ac-93ec- 4 cf8 -Ьf8 0-2 1368f8b3a8d
SRed
S-l-5-21-362588191 8-2577536232-3089104 624-1108
Red
SRed@bigfirm. com
По умолчанию он извлекает только небольшой набор доступных атрибутов. Если
uы хотите просмотреть все, что доступно в объекте пользователя, запустите команд­
лет Get-ADUser с запросом всех свойств, используя шаблон *:
PS C : UsersAdrninistrator> Get-ADUser SRed -properties
* 1
Результаты, выдаваемые Get-ADUser, по конвейеру передаются команд.лету More,
поэтому их вывод приостанавливается до нажатия любой клавиши. В противном
случае результаты выводятся настолько быстро, что вы просто не успеете их про­
читать. Если результаты включают намного больше атрибутов, чем вас интересует,
измените предыдущую команду, указав желаемые свойства. Но в любом случае вы
должны знать, какие свойства запрашивать, и в этом помогает шаблон *.
PS C : UsersAdrninistrator> Get-ADUser SRed -properties HomeDirectory
DistinguishedName
EnaЫed
Gi•enName
HomeDirectory
Name
Obj ectClass
Obj ectGUI D
SamAccountName
SID
Surname
UserPrincipalName
CN=Steve Red, OU=Users , OU=BigFirm, DC=Ьigfirm, JC=com
True
Steve
\DC01 home$SRed
Steve Red
user
5fa7 f3ac-93ec-4cf8-Ьf80-2 1 3 68 f8b3a8d
SRed
S-l-5-2 1-36258 8 1 9 1 8-2577536232-3089104 624-1 108
Red
SRed@Ьigfirm . com

В данном примере в стандартный вывод командлета Get-ADUser включается
также и атрибут HomeDirectory.
Можно вывести атрибуты сразу нескольких пользователей, задав какой-то кри­
терий поиска:
PS C : UsersAdministrator> Get-ADUser -Filter ‘ Name -like » * » ‘
-SearchBase «OU=Users, OU=BigFirm, DC=bigfirm, DC=com»
В команде применяются два флага.
-Filter. Здесь указывается любой объект с именем, соответствующим шабло­
ну *, т.е. все объекты пользователей.
-SearchВase. Здесь поиск дополнительно уточняется путем указания органи­
зационной единицы BigFirmUsers в домене.
Приведенная выше команда возвращает стандартные свойства всех объектов
пользователей в организационной единице BigFirm\Jsers.
Если вы хотите модифицировать свойство объекта пользователя, воспользуйтесь
командлетом Set-ADJser:
PS C : UsersAdministrator> Set-ADUser SCorso -Description «IT Manager»
С помощью этой команды модифицируется атрибут -Description пользовате­
ля SCorso. После ее выполнения описание объекта пользователя изменяется на rт
Manager. Получить список модифицируемых атрибутов можно, выполнив следую­
щую команду:
PS C : UsersAdministrator> Get-Help Set-ADUser
Допускается изменять свойство большого количества объектов за один раз. В сле­
дующем примере будут модифицированы все объекты в организационной единице
BigFirmUsers. С применением командлета Get-ADUser осуществляется поиск
пользователей в указанной организационной единице, а результаты передаются по
конвейеру в командлет Set-ADJser:
PS С : UsersAdministrator> Get-ADUser -Filter ‘ Name -like » * » ‘
-SearchBase «OU=Users, OlJ=BigFirm, DC=bigfirm, DC=com» 1 Set-ADUser
-Description «Member of I T »
Поиск производится точно так же, как было описано немного ранее. Найденные
объекты передаются посредством конвейера в Set-ADUser. Свойство описания всех
обнаруженных пользователей изменяется на MemЬer of IT.

включение учетной записи

Ранее упоминалось о том, что может возникнуть необходимость создать объект
пользователя, но включить его только тогда, когда сотрудник будет готов к его ис­
пользованию. Вот как включить объект пользователя Philipp Witschi:
PS C : UsersAdministrator> EnaЬle-ADAccount -Identity PWitschi

отключение учетной записи

Мы уже обсуждали причины, по которым имеет смысл отключать учетные за­
писи на определенное время, прежде чем окончательно удалять их. Н иже показано,
как отключить учетную запись:
PS C : UsersAdministrator> DisaЫe-ADAccount -Identity PWitschi

Наконеu, вы добрались до момента, когда хотите удалить учетную запись поль­
зователя:
PS C : UsersAdministrator> Remove-ADUser -Identity PWitschi -confirm
Confirm
Are you sure you want to perform this action?
Performing operation «Remove » on Target
«CN=PW itschi, CN=Users , DC=Ьigfirm, DC=com» .
[У] Yes [А] Yes to All [ N ] No [ L] No to All [ S ] Suspend [ ? ] Help
(defaul t is «У») :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Remove » на цели
«CN=PWi tsch i , CN=Users , DC=Ьigfirm, DC=com «.
{У] Да {А] Да для всех {N] Нет [L] Нет для всех (SJ Приостановить { ?] Справка
(по умолчанию «У») :
Ради осторожности командлет Remove-ADUser запускается с флагом -confirm.
Это дает возможность обдумать последствия выполнения командлета и решить, про­
должать ли данное действие. Если командлет Remove-ADUser должен быть запущен
внутри сценария, то, скорее всего, флаг -confirm указываться не будет, т.к. вряд ли
вы захотите, чтобы сценарий остановился где-то на полпути своего выполнения и
ожидал взаимодействия с ним.
На этом рассмотрение процесса управления пользователями с помощью
PowerShell завершено. М ы переходим к управлению группами. Первым делом, мы
создадим группу с применением командлета New-ADGroup. Заметили ли вы сходство
между всеми командлетами подобного рода? Это характерная черта PowerShell. Имя
командлета начинается с глагола, такого как Get, Set или New, после которого сле­
дует описание действия командлета.
PS C : UsersAdministrator> New-ADGroup -Name «IT Adrninistrators»
-SamAccountName » I T Adrninistrators» -GroupCategory Security -GroupScope
DomainLocal -DisplayName » IT Administrators» -Path «OU=Security Groups ,
OU=BigFirm, DC=Ьigfirm, DC=com» -Description «MemЬers of this group are in IT»
Приведенная команда создаст локальную группу доступа домена по имени
IT Administrators в организаuионной единице BigFirmSecuri ty Groups.
Ниже описаны флаги, используемые в команде.
-Name. Имя группы.
-SamAccountName. Имя группы до Windows 2000 Server.
-GroupCategory. Может быть либо Security (или 1) для группы доступа,
либо Distribt.:tion (или О) для группы рассьUJки.
-GroupScope. Может быть либо DomainLocal (или О) для локальной группы
домена, либо Global (или 1) для глобальной группы, либо Universal (или 2)
для универсальной группы.
-DisplayName. Отображаемое имя группы.
-Path. Отличительное имя организаuионной единиuы, в которой будет распо-
лагаться группа.
-Description. Описание объекта группы для ссылки в будущем.

Имея группу, можно приступить к добавлению в нее членов. Для этого служит
командлет Add-ADGroupMemЬer. Его можно применять множеством разных спосо­
бов. Мы начнем с простейшего из них:
PS C : UsersAdministrator> Add-ADGroupMemЬer «IT Administrators» -MemЬer SRed
Флаг -Identify позволяет сообщить PowerSheI, какую группу необходимо из­
менить. Затем с помощью флага -MemЬer указывается добавляемый пользователь.
В приведенном выше примере объект пользователя SRed добавляется в группу до­
ступа rт Administrators. Особенности начинаются, когда нужно добавить сразу
нескольких пользователей. Если вы делаете это из командной строки PowerSheI,
можете воспользоваться следующим подходом:
PS C : UsersAdrninistrator> Add-ADGroupMemЬer «IT Administrators»
cmdlet Add-ADGroupMemЬer at command pipeline position 1
Supply values for the following parameters :
MemЬers [ O ] : SCorso
MemЬers [ l ] :MZehner
MemЬers [ 2 ] :
В этом случае вы указываете в команде управляемую группу, но не список новых
членов. В результате PowerShel начинает запрашивать члены по одному. Вы указы­
ваете имя пользователя SCorso как члена О, имя пользователя MZetшer как члена 1 ,
после чего в ответ на запрос очередного пользователя нажимаете клавишу ,
чтобы завершить команду. Введенные вами пользователи добавляются в группу.
В качестве альтернативы можно применить другой подход:
PS C: UsersAdrninistrator> Add-ADGroupMemЬer » IT Adrninistrators»
-MemЬer SCorso, MZehner
Разделителем между именами объектов пользователей, подлежащих добавлению
в группу IT Administrators, служит запятая.
Может понадобиться добавить в группу очень большое число пользователей. Для
этого используются результаты поиска, генерируемые командлетом Get-ADUser:
PS C : UsersAdrninistrator> Add-ADGroupMemЬer «IT Adrninistrators» -Member
(Get-ADUser -Filter ‘ Name -like » * » ‘
-SearchBase «OU=Users, OU=BigFirm, DC=Ьigfirm, DC=com» )
В показанной команде присутствует вложен ны й запрос Get-ADUser, кото­
рый при менялся ранее при управлении пользователями с помощью PowerShell.
Вложенный командлет Get-ADUser выступает в качестве значения для флага
-MemЬer командлета Add-ADGroupMemЬer. Командлет Get-ADUser находит всех
пользователей в организационной единице BigFirmUsers. Обнаруженные в ре­
зультате поиска пользователи добавляются в группу IT Administrators.
Вспомните, что вы не ограничены добавлением в группу Active Directory только
пользователей. Можно также добавлять другие группы, делая их вложенными:
PS C: UsersAdrninistrator> Add-ADGroupMemЬer » IT Adrninistrators» «Helpdesk»
Эта команда добавит группу Helpdesk в группу IT Administrators.
Часто возникает потребность в получении списка членов той или иной группы.
В следуюшей простой команде используется командлет Get-ADGr·oupMember для
вывода списка членов группы IT Administrators:
PS C : UsersAdministrator> Get-ADGroupMernЬer «IT Administrators»
distinguishedName : CN=Helpdesk,OU=Security Groups,OU=BigFirm, DC=Ьigfirm, DC=com
name Helpdesk
obj ectClass group
objectGUID 93e9b2lb-023a-4e46-88b5-3c4cbf71f218
SamAccountName
SID
Helpdesk
S-1-5-21-3625881918-2577536232-3089104624-1115
distinguishedName : CN=Steve Red, OU=Users, OU=BigFirrn, DC=Ыgfirm, DC=corn
narne Steve Red
obj ectClass user
obj ectGUID 5fa7f3ac-93ec-4cf8-bf80-21368f8b3a8d
SamAccountNarne
SID
SRed
S-1-5-21-3625881918-2577536232-3089104624-1108
Команда возвращает все непосредственные члены данной группы, но не чле­
ны вложенных в нее групп. Такой список не особенно полезен в качестве отчета.
Инструмент PowerShell позволяет указывать, какие атрибуты возвращаемых объек­
тов должны отображаться:
PS С : UsersAdministrator> Get-ADGroupMernЬer «IT Administrators» 1
FT ObjectClass, Name
ObjectClass
group
user
Narne
Helpdesk
Steve Red
Результаты выполнения командлета Get-ADGroupMember по конвейеру пе­
редаются в командлет FT, который представляет собой псевдоним командлета
Format-TaЬle. Это дает возможность указывать свойства или атрибуты, которые
должны присутствовать в списке.
АВТОМАТИЧЕСКАЯ ПОДГОНКА СТОЛБЦОВ
Вполне возможно, что при запуске команды с множеством свойств она будет отобра­
жаться в окне командной строки некорректно, т.е. выглядеть так, как будто столбцы
имеют неправильные размеры. Чтобы решить эту проблему, добавьте в конец коман­
ды ключ -auto. Как вам известно, в PowerSheU не всегда нужно указывать имя фла­
га полностью. Например, ключ -auto обозначает флаг -AutoSize, который инс­
труктирует командпет FT о том, что ширина столбцов должна быть автоматически
подогнана с учетом содержимого. Команда будет выглядеть следующим образом:
PS C : UsersAdministrator> Get-ADGroupMember «IT Administrators»
-recursi ve 1 FT
-auto
В предыдущем примере запрашиваются свойства ObjectClass и Name. В резуль­
тате получается удобный отчет с объектами, являющимися непосредственными чле­
нами группы IT Administrators.
Тем не менее, если группа содержит в качестве членов другие группы, понадо­
бится полный рекурсивный список членов:
PS С : Users Administrator> Get-ADGroupMember » I T Administrators »
-recursive 1 FT DistinguishedName
Di stinguishedName
CN=Steve Red, OU=Users , OU=BigFirm, DC=bigfirm, DC=com
CN=Kevin Greene , OU=Users , OU=BigFi rm, DC=bigfirm, DC=com
CN=Marcel Zehner, OU=Users , OU=BigFi r�, DC=bigfirm, DC=com
50 1
К командпету добавляется флаг -Recurs i ve, а его результаты через конвейер
передаются командпету FT или Format-TaЫe для получения отличительных имен
всех объектов, которые имеют членство в группе IT Administrators.
Следующей операцией, которая может потребоваться, является удаление членов
из группы. Для этого применяется командпет Remove-ADGroupMerrber:
PS C : Users Administrator> Remove-ADGroupMemЬer «IT Administrators»
-MemЬer SRed
Confi rm
Are you sure you want to perform this action?
Performing operation «Set» on Target «CN=IT Administrators , OU=Security
Groups, OU=BigFirm, DC=bigfirm, DC=com» .
[У] Yes [А] Yes to All [ N ] No [ L ] No to All [ S ] Suspend [ ? ] Help
(de fault is «У » ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Se t » на цели «CN=IT Administra tors , OU=Securi ty
Groups , OU=Bi gFi rm , DC=Ьigfi rm , DC=com » .
[ У] Да [А] Да для всех [N] Нет [L] Нет для всех [S) Приостановить [ ?] Справка
(по умолчанию «У») :
Здесь вы инициируете удаление пользователя SRed из группы IT Administrators.
Командпет Remove-ADGroupMember всегда .запрашивает подтверждение действия.
В ответ на запрос подтверждения можно вводить несколько вариантов.
Yes (Да). Продолжить удаление указанного пользователя из группы.
Yes to All (Да для всех). Используйте этот вариант, если вы затребовали уда­
ление нескольких членов из группы и уверены, что хотите удалить их все.
No (Нет). Не удалять указанного пользователя из группы.
L (Нет для всех). Отказаться от всех операций удаления, запрошенных в ко­
манде.
s (Приостановить). Приостановить выполнение операции. Произойдет возврат
в режим командной строки. Возобновить выполнение команды до этого мо­
мента можно, введя Exi t.
Следующая команда удалит несколько пользователей, перечисленных через
запятые:
PS С : Users Administrator> Remove-ADGroupMemЬer -Icientity » IT
Administrators » -Member SCorso, SRed
Confirm
Are you sure you want to perform this action?
Performing operation «Set » on Target «CN=IT P.dministrators , OU=Security
Groups, OU=BigFirm, DC=Ьigfirm, DC=com» .
[У] Yes [А] Yes to All [N] No [L] No to All [S] Suspend [ ? ] Help
(default is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие?
Выполнение операции «Set » на цели «CN=IT Administra tors , OU=Securi ty
Groups, OU=BigFirm, DC=Ьigfirm, DC=com «.
[ У] Да {А] Да для всех [NJ Нет [L] Нет для всех [SJ Приостановить [ ?] Справка
(по умолчанию «У») :
Имена пользователей scorso и SRed разделены запятой. Подобным образом
можно добавлять множество пользователей или даже групп.
Может понадобиться удалить множество пользователей или групп, используя
результаты поиска какого-то вида. В приведенном ниже примере с помощью ко­
мандлета Get-ADUser находятся все пользователи в организационной единице
BigFirrnUsers и удаляются из группы IT Administrators:
PS C : UsersAdrninistrator> Remove-ADGroupMember «IT Adrninistrators»
-Member (Get-ADUser -Filter ‘ Narne -like » * » ‘
-SearchBase «OU=Users, OU=BigFirm, DC=Ьigfirm, DC=com»)
Confirm
Are you sure you want to perform this action?
Performing operation «Set» on Target «CN=IT Adrninistrators, OU=Security
Groups , OU=Bigfirm, DC=Ьigfirm, DC=com» .
[У] Yes [А] Yes to All [NJ No [LJ No to All [SJ Suspend [ ? ] Help
(default is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Set» на цели «CN=IT Administra tors, OU=Securi ty
Groups , OU=BigFirm, DC=Ьigfirm ,DC=com » .
[ У] Да [А] Да для всех [N] Нет [L] Нет для всех [S] Приостановить [ ?] Справка
(по умолчанию «У») :
Как видите, значение для флага -MernЬer не указывается. Вместо этого вы ис­
пользуете вложенный командлет Get-ADUser. Он находит всех пользователей, под­
лежащих удалению, и результат передается командлету Remove-ADGroupMernЬer.
Если вы подтвердите выполнение действия, все пользователи в организационной
единице BigFirrnUsers будут удалены из группы IT Administrators.
Здесь имеется похожее затруднение, как во время применения такого же подхода
с запросом при добавлении пользователей в группу. Если любой из результирующих
объектов вложенного запроса Get-ADOser не является членом указанной группы,
потерпит неудачу вся операция Rernove-ADGroupMember. Таким образом, если вы
запросите всех пользователей в организационной единице BigFirmUsers и один
из них не находится в данный момент внутри группы rт Adrninistrators, то опе­
рация удаления завершится неудачей.
Возможно, необходимо удалить всех членов из группы. Для этого потребует­
ся запросить члены группы и вложить эту команду в команду удаления членов из
группы:
PS C: UsersAdministrator> Remove-ADGroupMember «IT Adrninistrators»
-MemЬer (Get-ADGroupMember «IT Administrators» )

Confirm
Are you sure you want to perform this action?
Performing operation «Set» on Target «CN=IT Adrninistrators, OU=Security
Groups, OU=BigFirm, DC=bigfirm, DC=com» .
[У] Yes [А] Yes to All [N] No [L] No to All [S] Suspend [ ? ] Help
(defaul t is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Se t » на цели «CN=IT Adminis tra tors , OU=Securi ty
Groups , OU=BigFirm , DC=bigf irm, DC=com «.
{У] Да {А] Да для всех {N] Нет {L] Нет для всех {S] Приостановить { ?] Справка
(по умолчанию «У») :
С помощью командлета Get-ADGroupMember извлекаются все члены группы
IT Administrators. Данный запрос вложен в команду Remove-ADGroupMemЬer и
возвратит результаты как значение мя флага -MemЬer команды.
Это дает много способов мя создания группы, используя PowerShel, добавления
в нее членов, запрашивания членства и удаления членов. Осталось только взглянуть
на то, как удалять группу.

Удаление группы

Удаление группы — очень простая задача. Необходимо запустить командлет
Remove-ADGroup и указать имя группы:
PS С: UsersAdrninistra’:or> Remove-ADGroup «IT Adrninistrators»
Confirm
Are you sure you want to perform this action?
Performing operation «Remove» on Target «CN=IT
Aciministrators, OU=Security
Groups, OU=BigFirm, DC=bigfirm, DC=com» .
[У] Yes [А] Yes to All [NJ No [LJ No to All [SJ Suspend ( ? ] Help
(default is «У» ) :
Лодтверж.пение
Вы уверены, что хотите выполнить это действие?
Выполнение операции «Remove » на цели «CN=IT Administra tors , OU=Securi ty
Groups , OU=BigFirm , DC=Ьigfirm, DC=com » .
[У] Да [А] Да для всех [N] Нет [L] Нет для всех {S] Приостановить { ?] Справка
(по умолчанию «У») :
Здесь удаляется группа IT Administrators. При этом не имеет значения, со­
держит ли группа какие-то члены или нет — она будет удалена. Убедитесь, что эта
группа больше не нужна. Не забывайте, что вы не сможете просто воссоздать группу
и тем самым восстановить все назначенные разрешения, поскольку идентификатор
SID, присвоенный старой группе, является глобально уникальным.
Наконец, раздел, посвященный модулю Active Directory для Windows PowerShell,
завершен. Поначалу этот модуль казался сложным в применении. Конечно, в не­
больших средах использование PowerShell может не дать ощутимых преимуществ,
но это, чему вы должны научиться. В средах среднего размера вы обнаружите, что
применение PowerShel обеспечит более быстрое получение результатов. В крупных
средах вы сочтете PowerShell средством, с помощью которого появляется возмож­
ность выполнять сложные операции очень быстро и с минимальными усилиями.

title description ms.date ms.topic ms.assetid author ms.author manager

Manage User Accounts in Windows Server Essentials

Learn about the Users page of the Windows Server Essentials Dashboard and how it centralizes information and tasks that help you manage the user accounts.

10/03/2016

article

0d115697-532b-48c2-a659-9f889e235326

nnamuhcs

wscontent

mtillman

Manage User Accounts in Windows Server Essentials

Applies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials

The Users page of the Windows Server Essentials Dashboard centralizes information and tasks that help you manage the user accounts on your small business network. For an overview of the Users Dashboard, see Dashboard Overview.

Managing user accounts

The following topics provide information about how to use the Windows Server Essentials Dashboard to manage the user accounts on the server:

  • Add a user account

  • Remove a user account

  • View user accounts

  • Change the display name for the user account

  • Activate a user account

  • Deactivate a user account

  • Understand user accounts

  • Manage user accounts using the Dashboard

Add a user account

When you add a user account, the assigned user can log on to the network, and you can give the user permission to access network resources such as shared folders and the Remote Web Access site. Windows Server Essentials includes the Add a User Account Wizard that helps you:

  • Provide a name and password for the user account.

  • Define the account as either an administrator or as a standard user.

  • Select which shared folders the user account can access.

  • Specify if the user account has remote access to the network.

  • Select email options if applicable.

  • Assign a Microsoft Online Services account (referred to as a Microsoft 365 account in Windows Server Essentials) if applicable.

  • Assign user groups ( Windows Server Essentials only).

[!NOTE]

  • Non-ASCII characters are not supported in Microsoft Azure Active Directory (Azure AD). Do not use any non-ASCII characters in your password, if your server is integrated with Azure AD.
    • The email options are only available if you install an add-in that provides email service.
To add a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the Users Tasks pane, click Add a user account. The Add a User Account Wizard appears.

  4. Follow the instructions to complete the wizard.

Remove a user account

When you choose to remove a user account from the server, a wizard deletes the selected account. Because of this, you can no longer use the account to log on to the network or to access any of the network resources. As an option, you can also delete the files for the user account at the same time that you remove the account. If you do not want to permanently remove the user account, you can deactivate the user account instead to suspend access to network resources.

[!IMPORTANT]
If a user account has a Microsoft online account assigned, when you remove the user account, the online account also is removed from Microsoft Online Services, and the user’s data, including email, is subject to data retention policies in Microsoft Online Services. If you want to retain user data for the online account, deactivate the user account instead of removing it. For more information, see Manage Online Accounts for Users.

To remove a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to remove.

  4. In the <User Account> Tasks pane, click Remove the user account. The Delete a User Account Wizard appears.

  5. On the Do you want to keep the files? page of the wizard, you can choose to delete the user’s files, including File History backups and the redirected folder for the user account. To keep the user’s files, leave the check box empty. After making your selection, click Next.

  6. Click Delete account.

[!NOTE]
After you remove a user account, the account no longer appears in the list of user accounts. If you chose to delete the files, the server permanently deletes the user’s folder from the Users server folder and from the File History Backups server folder.

If you have an integrated email provider, the email account assigned to the user account will also be removed.

View user accounts

The Users section of the Windows Server Essentials Dashboard displays a list of network user accounts. The list also provides additional information about each account.

To view a list of user accounts
  1. Open the Windows Server Essentials Dashboard.

  2. On the main navigation bar, click Users.

  3. The Dashboard displays a current list of user accounts.

To view or change properties for a user account
  1. In the list of user accounts, select the account for which you want to view or change properties.

  2. In the <User Account> Tasks pane, click View the account properties. The Properties page for the user account appears.

  3. Click a tab to display the properties for that account feature.

  4. To save any changes that you make to the user account properties, click Apply.

Change the display name for the user account

The display name is the name that appears in the Name column on the Users page of the Dashboard. Changing the display name does not change the logon or sign-in name for a user account.

To change the display name for a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to change.

  4. In the <User Account> Tasks pane, click View the account properties. The Properties page for the user account appears.

  5. On the General tab, type a new First name and Last name for the user account, and then click OK.

    The new display name appears in the list of user accounts.

Activate a user account

When you activate a user account, the assigned user can log on to the network and access network resources to which the account has permission, such as shared folders and the Remote Web Access site.

[!NOTE]
You can only activate a user account that is deactivated. You cannot activate a user account after you remove it from the server.

To activate a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list view, select the user account that you want to activate.

  4. In the <User Account> Tasks pane, click Activate the user account.

  5. In the confirmation window, click Yes to confirm your action.

[!NOTE]
After you activate a user account, the status for the account displays Active. The user account regains the same access rights that were assigned prior to account deactivation.

If you have an integrated email provider, the email account assigned to the user account will also be activated.

Deactivate a user account

When you deactivate a user account, account access to the server is temporarily suspended. Because of this, the assigned user cannot use the account to access network resources such as shared folders or the Remote Web Access site until you activate the account.

If the user account has a Microsoft online account assigned, the online account is also deactivated. The user cannot use resources in Microsoft 365 and other online services that you subscribe to, but the user’s data, including email, is retained in Microsoft Online Services.

[!NOTE]
You can only deactivate a user account that is currently active.

To deactivate a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list view, select the user account that you want to deactivate.

  4. In the <User Account> Tasks pane, click Deactivate the user account.

  5. In the confirmation window, click Yes to confirm your action.

[!NOTE]
After you deactivate a user account, the status for the account displays Inactive.

If you have an integrated email provider, the email account assigned to the user account will also be deactivated.

Understand user accounts

A user account provides important information to Windows Server Essentials, which enables individuals to access information that is stored on the server, and makes it possible for individual users to create and manage their files and settings. Users can log on to any computer on the network if they have a Windows Server Essentials user account and they have permissions to access a computer. Users access their user accounts with their user name and password.

There are two main types of user accounts. Each type gives users a different level of control over the computer:

  • Standard accounts are for everyday computing. The standard account helps protect your network by preventing users from making changes that affect other users, such as deleting files or changing network settings.

  • Administrator accounts provide the most control over a computer network. You should assign the administrator account type only when necessary.

Manage user accounts using the Dashboard

Windows Server Essentials makes it possible to perform common administrative tasks by using the Windows Server Essentials Dashboard. By default, the Users page of the Dashboard includes two tabs: Users and Users Groups.

[!NOTE]

  • If you integrate your server that is running Windows Server Essentials with Microsoft 365, a new tab called Distribution Groups is also added within the Users page of the Dashboard.
    • In Windows Server Essentials, the Users page of the Dashboard includes only a single tab — Users.

The Users tab includes the following:

  • A list of user accounts, which displays:

    • The name of the user.

    • The Logon name for the user account.

    • Whether the user account has Anywhere Access permission. Anywhere Access permission for a user account is either Allowed or Not allowed.

    • Whether the File History for this user account is managed by the server running Windows Server Essentials. The File History status for a user account is either Managed or Not managed.

    • The level of access that is assigned to the user account. You can assign either Standard user access or Administrator access for a user account.

    • The user account status. A user account can be Active, Inactive, or Incomplete.

    • In Windows Server Essentials, if the server is integrated with Microsoft 365 or Windows Intune, the Microsoft online account is displayed.

    • In Windows Server Essentials, if the server is integrated with Microsoft 365, the status of the account (known in Windows Server Essentials as the Microsoft online account) for the user account is displayed.

  • A details pane with additional information about a selected user account.

  • A tasks pane that includes:

    • A set of user account administrative tasks such as viewing and removing user accounts, and changing passwords.

    • Tasks that allow you to globally set or change settings for all user accounts in the network.

    The following table describes the various user account tasks that are available from the Users tab. Some of the tasks are user account-specific, and they are only visible when you select a user account in the list.

[!NOTE]
If you integrate Microsoft 365 with Windows Server Essentials, additional tasks will become available. For more information, see Manage Online Accounts for Users.

User account tasks in the Dashboard

Task name Description
View the account properties Enables you to view and change the properties of the selected user account, and to specify folder access permissions for the account.
Deactivate the user account A user account that is deactivated cannot log on to the network or access network resources such as shared folders or printers.
Activate the user account A user account that is activated can log on to the network and can access network resources as defined by the account permissions.
Remove the user account Enables you to remove the selected user account.
Change the user account password Enables you to reset the network password for the selected user account.
Add a user account Starts the Add a User Account Wizard, which enables you to create a single new user account that has either standard user access or administrator access.
Assign a Microsoft online account Adds a Microsoft online account to the local network user account that is selected.

This task is displayed when your server is integrated with Microsoft online services, such as Microsoft 365.

Add Microsoft online accounts Adds Microsoft online accounts and associates them to local network user accounts.

This task is displayed when your server is integrated with Microsoft online services, such as Microsoft 365.

Set the password policy Enables you to change the values of the password polices for your network.
Import Microsoft online accounts Performs a bulk import of accounts from Microsoft online services into the local network.

This task is displayed when your server is integrated with Microsoft online services, such as Microsoft 365.

Refresh Refreshes the Users tab.

This task is applicable to Windows Server Essentials.

Change File History settings Enables you to change File History settings, such as backup frequency, or backup duration.

This task is applicable to Windows Server Essentials.

Export all remote connections Creates a .CSV-format file of all remote connections to the server that have occurred over the past 30 days.

Managing passwords and access

The following topics provide information about how to use the Windows Server Essentials Dashboard to manage user account passwords and user access to the shared folders on the server:

  • Change or reset the password for a user account

  • What you should know about password policies

  • Change the password policy

  • Level of access to shared folders

  • Retain and manage access to files for removed user accounts

  • Synchronize the DSRM password with the network administrator password

  • Give user accounts remote desktop permission

  • Enable users to access resources on the server

  • Change remote access permissions for a user account

  • Change virtual private network permissions for a user account

  • Change access to internal shared folders for a user account

  • Allow user accounts to establish a remote desktop session to their computer

Change or reset the password for a user account

To change or reset a user account password, follow these steps.

To reset the password for a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to reset.

  4. In the <User Account> Tasks pane, click Change the user account password. The Change User Account Password Wizard appears.

  5. Type a new password for the user account, and then type the password again to confirm it.

  6. Click Change password.

  7. Provide the new password to the user.

    [!IMPORTANT]

    • You may not be able to change your password if the password policy for your account has been set to Passwords never expire.
      • Non-ASCII characters are not supported in Azure AD. Therefore, if your server is integrated with Azure AD, do not use any non-ASCII characters in your password.
      • If a Microsoft online account (known in Windows Server Essentials as a Microsoft 365 account) is assigned to the user, the password is synchronized with the online account password. The user will use the new password to sign in on the server or sign in to Microsoft 365. For more information, see Manage Online Accounts for Users.

What you should know about password policies

The password policy is a set of rules that define how users create and use passwords. The policy helps to prevent unauthorized access to user data and other information that is stored on the server. The password policy is applied to all user accounts that access the network.

The Windows Server Essentials password policy consists of three primary elements as follows:

  • Password length. The longer a password is, the more secure it is. Blank passwords are not secure.

  • Password complexity. Complex passwords contain a mixture of uppercase and lowercase letters (a-z, A-Z), base numbers (0-9), and non-alphabetic symbols (such as; !,@,#,_,-). Complex passwords are much less susceptible to unauthorized access. Passwords that contain user names, birthdates, or other personal information do not provide adequate security.

  • Password age. Windows Server Essentials requires that users change their password at least once every 180 days. As an option, you can choose to have passwords never expire.

    To make it easier to implement a password policy on your computer network, Windows Server Essentials provides a simple tool that allows you to set or change the password policy to any of the following four pre-defined policy profiles:

  • Weak. Users can specify any password that is not blank.

  • Medium. These passwords must contain at least 5 characters. A complex password is not required.

  • Medium Strong. These passwords must contain at least 5 characters, and must include letters, numbers, and symbols.

  • Strong. These passwords must contain at least 7 characters, and must include letters, numbers, and symbols. These passwords are more secure, but may be more difficult for users to remember.

    [!NOTE]
    Passwords cannot contain the user name or email address.

    If you integrate with Microsoft 365, the integration enforces the Strong password policy, and updates the policy to include the following requirements:

    • Passwords must contain 8 �16 characters.
      • Passwords cannot contain a space or the Microsoft 365 email name.

    By default, server installation sets the default password policy to the Strong option.

Change the password policy

Use the following procedure to set or change the password policy to any of four pre-defined policy profiles.

To change the password policy
  1. Open the Windows Server Essentials Dashboard, and then click Users.

  2. In the Users Tasks pane, click Set the password policy.

  3. On the Change the Password Policy screen, set the level of password strength by moving the slider.

    Microsoft recommends that you set the password strength to Strong.

    [!NOTE]
    As an option, you can also select Passwords never expire. This setting is less secure, and so it is not recommended.

  4. Click Change policy.

Level of access to shared folders

As a best practice, you should assign the most restrictive permissions available that still allow users to perform required tasks.

You have three access settings available for the shared folders on the server:

  • Read/Write. Choose this setting if you want to allow the user account permission to create, change, and delete any files in the shared folder.

  • Read only. Choose this setting if you want to allow the user account permission to only read the files in the shared folder. User accounts with read-only access cannot create, change, or delete any files in the shared folder.

  • No access. Choose this setting if you do not want the user account to access any files in the shared folder.

Retain and manage access to files for removed user accounts

The network administrator can remove a user account and choose to keep the user’s files for future use. In this scenario, the removed user account can no longer be used to sign in to the network; however, the files for this user will be saved in a shared folder, which can be shared with another user.

[!IMPORTANT]
Be aware that if you remove a user account that has a Microsoft online account assigned, the online account is also removed, and the user data, including email, is subject to data retention policies in Microsoft Online Services. To retain the user data for the online account, deactivate the user account instead of removing it. For more information, see Manage Online Accounts for Users.

To remove a user account but retain access to the user’s files
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to remove.

  4. In the <User Account> Tasks pane, click Remove the user account. The Delete a User Account Wizard appears.

  5. On the Do you want to keep the files? page, make sure that the Delete the files including File History backups and redirected folder for this user account check box is clear, and then click Next.

    A confirmation page appears warning you that are deleting the account but keeping the files.

  6. Click Delete account to remove the user account.

    After the user account is removed, the administrator can give another user account access to the shared folder.

To give a user account permission to access a shared folder
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Storage, and then click the Server Folders tab.

  3. In the list of folders, select the Users folder.

  4. In the Users Tasks pane, click Open the folder. Windows Explorer opens and displays the contents of the Users folder.

  5. Right-click the folder for the user account that you want to share, and then click Properties.

  6. In <User Account> Properties, click the Sharing tab, and then click Share.

  7. In the File Sharing window, type or select the user account name with whom you want to share the folder, and then click Add.

  8. Choose the Permission Level that you want the user account to have, and then click Share.

Synchronize the DSRM password with the network administrator password

Directory Services Restore Mode (DSRM) is a special boot mode for repairing or recovering Active Directory. The operating system uses DSRM to log on to the computer if Active Directory fails or needs to be restored. If your network administrator password and the DSRM password are different, DSRM will not load.

During a clean, first-time installation of Windows Server Essentials, the program sets the DSRM password to the network administrator account password that you specify during setup or in the migration answer file. When you change your network administrator password (as recommended typically every 60 days for increased server security), the password change is not forwarded to DSRM. This results in a password mismatch. If this occurs, you can use the following solutions to manually or automatically synchronize your network administrator’s password with the DSRM password.

To manually synchronize the DSRM password to a network administrator account
  1. At a command prompt, run ntdsutil.exe to open the ntdsutil tool.

  2. To reset the DSRM password, type set dsrm password.

  3. To synchronize the DSRM password on a domain controller with the current network administrator’s account, type:

    sync from domain account <current_network_administrator_account>, and then press Enter.

    Because you will periodically change the password for the network administrator account, to ensure that the DSRM password is always the same as the current password of the network administrator, we recommend that you create a schedule task to automatically synchronize the DSRM password to the network administrator password daily.

To automatically synchronize the DSRM password to a network administrator account
  1. From the server, open Administrative Tools, and then double-click Task Scheduler.

  2. In the Task Scheduler Actions pane, click Create Task.

  3. In the Name text box, type a name for the task such as AutoSync DSRM Password, and then select the Run with highest privileges option.

  4. Define when the task should run:

    1. In the Create Task dialog box, click the Triggers tab, and then click New.

    2. In the New Trigger dialog box, select your recurrence option, specify the recurrence interval, and choose a start time.

      [!NOTE]
      As a best practice, you should set the task to run daily during non-business hours.

    3. Click OK to save your changes and return to the Create Task dialog box.

  5. Define the task actions:

    1. Click the Actions tab, and then click New. The New Action dialog box appears.

    2. In the Action list, click Start a program, and then browse to C:WINDOWSSYSTEM32ntdsutil.exe.

    3. In the Add arguments(optional) text box, type the following (you must include the quotation marks): set dsrm password sync from domain account SBS_network_administrator_account q q where SBS_network_administrator_account is the current network administrator’s account name.

  6. Click OK twice to save the task and close the Create Task dialog box. The new task appears in the Active Tasks section of Task Schedule.

Give user accounts remote desktop permission

In the default installation of Windows Server Essentials, network users do not have permission to establish a remote connection to computers or other resources on the network.

Before network users can establish a remote connection to network resources, you must first set up Anywhere Access. After you set up Anywhere Access, users can access files, applications, and computers in your office network from a device in any location with an Internet connection.

The Set up Anywhere Access Wizard allows you to enable two methods of remote access:

  • Virtual private network (VPN)

  • Remote Web Access

    When you run the wizard, you can also choose to allow Anywhere Access for all current and newly added user accounts.

    To set up Anywhere Access, open the Dashboard Home page, click SETUP, and then click Set up Anywhere Access.

    For more information about Anywhere Access, see Manage Anywhere Access.

Enable users to access resources on the server

This section applies to a server running Windows Server Essentials or Windows Server Essentials, or to a server running Windows Server 2012 R2 Standard or Windows Server 2012 R2 Datacenter with the Windows Server Essentials Experience role installed.

If you want users to use remote access, and/or have individual user accounts, after you finish connecting a computer to the server, you can create new network user accounts for the users of the networked computer on the server by using the Dashboard. For more information about creating a user account, see Add a user account. After creating the user accounts, you must provide the network user name and password information to the users of the client computer so that they can access resources on the server by using the Launchpad.

For each user account that you create you can set access for the following through the user account properties:

  • Shared folders. By default, network administrators have Read/Write permission to all the shared folders, and standard user accounts have Read-only permissions to the Company folder. If media streaming is enabled, you can assign folder access permissions for individual standard user accounts for the following shared folders: Music, Pictures, Recorded TV, and Videos. You can set permissions for user accounts to access shared folders on the Shared folders tab of the user account properties.

  • Anywhere Access. By default, network administrators can use either VPN or Remote Web Access to access server resources. For standard user accounts, you must set user account permissions on the Anywhere Access tab.

  • Computer access. By default, network administrators can access all the computers in the network. However, for standard user accounts you can set individual user account permissions for accessing computers on the network on the Computer access tab of the user account properties.

To edit user account properties in Windows Server Essentials 2012 R2
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click USERS.

  3. In the list of user accounts, select the user account that you want to edit.

  4. In the <User Account> Tasks pane, click View the account properties.

  5. In the <User Account> Properties, do the following:

    1. On the Shared folders tab, set the appropriate folder permissions for each shared folder as needed.

    2. On the Anywhere Access tab:

      1. To allow a user to connect to the server by using VPN, select the Allow Virtual Private Network (VPN) check box.

      2. To allow a user to connect to the server by using Remote Web Access, select the Allow Remote Web Access and access to web services applications check box.

    3. On the Computer access tab, select the network computers that you would like the user to have access to.

To edit user account properties in Windows Server Essentials 2012
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click USERS.

  3. In the list of user accounts, select the user account that you want to edit.

  4. In the <User Account> Tasks pane, click Properties.

  5. In the <User Account> Properties, do the following:

    1. On the General tab, select User can view network health alerts if the user account needs to access network health reports.

    2. On the Shared folders tab, set the appropriate folder permissions for each shared folder as needed.

    3. On the Anywhere Access tab:

      1. To allow a user to connect to the server by using VPN, select the Allow Virtual Private Network (VPN) check box.

      2. To allow a user to connect to the server by using Remote Web Access, select the Allow Remote Web Access and access to web services applications check box.

    4. On the Computer access tab, select the network computers that you would like the user to have access to.

Change remote access permissions for a user account

A user can access resources located on the server from a remote location by using a virtual private network (VPN), Remote Web Access, or other web services applications. By default, remote access permissions are turned on for network users when you configure Anywhere Access in Windows Server Essentials by using the Dashboard.

To change remote access permissions for a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to change.

  4. In the <User Account> Tasks pane, click View the account properties. The Properties page for the user account appears.

  5. On the Anywhere Access tab, do the following:

    • Select the Allow Virtual Private Network (VPN) check box to allow a user to connect to the server by using VPN.

    • Select the Allow Remote Web Access and access to web services applications check box to allow a user to connect to the server by using Remote Web Access.

  6. Click Apply, and then click OK.

Change virtual private network permissions for a user account

You can use a virtual private network (VPN) to connect to Windows Server Essentials and access all your resources that are stored on the server. This is especially useful if you have a client computer that is set up with network accounts that can be used to connect to a hosted Windows Server Essentials server through a VPN connection. All the newly created user accounts on the hosted Windows Server Essentials server must use VPN to log on to the client computer for the first time.

To change VPN permissions for network users
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click USERS.

  3. In the list of user accounts, select the user account to which you want to grant permissions to access the desktop remotely.

  4. In the <User Account> Tasks pane, click Properties.

  5. In the <User Account> Properties, click the Anywhere Access tab.

  6. On the Anywhere Access tab, to allow a user to connect to the server by using VPN, select the Allow Virtual Private Network (VPN) check box.

  7. Click Apply, and then click OK.

Change access to internal shared folders for a user account

You can manage access to any shared folders on the server by using the tasks on the Server Folders tab of the Dashboard. By default, the following server folders are created when you install Windows Server Essentials:

  • Client Computer Backups. Used to store client computer backups created by Windows Server backup. This server folder is not shared.

  • Company. Used to store and access documents related to your organization by network users.

  • File History Backups. By default, Windows Server Essentials stores file backups created by using File History. This server folder is not shared.

  • Folder Redirection. Used to store and access folders that are set up for folder redirection by network users. This server folder is not shared.

  • Music. Used to store and access music files by network users. This folder is created when you turn on media sharing.

  • Pictures. Used to store and access pictures by network users. This folder is created when you turn on media sharing.

  • Recorded TV. Used to store and access recorded TV programs by network users. This folder is created when you turn on media sharing.

  • Videos. Used to store and access videos by network users. This folder is created when you turn on media sharing.

  • Users. Used to store and access files by network users. A user-specific folder is automatically generated in the Users server folder for every network user account that you create.

To change access to a shared folder for a user account
  1. Open the Windows Server Essentials Dashboard.

  2. Click STORAGE, and then click Server Folders.

  3. Navigate to and select the server folder for which you want to modify permissions.

  4. In the task pane, click View the folder properties.

  5. In <FolderName> Properties, click Sharing, and select the appropriate user access level for the listed user accounts, and then click Apply.

    [!NOTE]
    You cannot modify the sharing permissions for File History Backups, Folder Redirection, and Users server folders. Hence, the folder properties of these server folders do not include a Sharing tab.

Allow user accounts to establish a remote desktop session to their computer

This section applies to a server running Windows Server Essentials or Windows Server Essentials, or to a server running Windows Server 2012 R2 Standard or Windows Server 2012 R2 Datacenter with the Windows Server Essentials Experience role installed.

The network administrator can grant permissions to network users that allow them to access their network computers from a remote location.

To enable users to access their network computers from a remote location
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click USERS.

  3. In the list of user accounts, select the user account that you want to grant permissions for accessing the desktop remotely.

  4. In the <User Account> Tasks pane, click Properties.

  5. In the <User Account> Properties, click the Computer Access tab.

  6. Select the computers that you want this user account to be able to access remotely, and then click OK.

Additional References

  • Manage Online Accounts for Users

  • Get Connected

  • Use Windows Server Essentials

  • Manage Windows Server Essentials

title description ms.date ms.topic ms.assetid author ms.author manager

Manage User Accounts in Windows Server Essentials

Learn about the Users page of the Windows Server Essentials Dashboard and how it centralizes information and tasks that help you manage the user accounts.

10/03/2016

article

0d115697-532b-48c2-a659-9f889e235326

nnamuhcs

wscontent

mtillman

Manage User Accounts in Windows Server Essentials

Applies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials

The Users page of the Windows Server Essentials Dashboard centralizes information and tasks that help you manage the user accounts on your small business network. For an overview of the Users Dashboard, see Dashboard Overview.

Managing user accounts

The following topics provide information about how to use the Windows Server Essentials Dashboard to manage the user accounts on the server:

  • Add a user account

  • Remove a user account

  • View user accounts

  • Change the display name for the user account

  • Activate a user account

  • Deactivate a user account

  • Understand user accounts

  • Manage user accounts using the Dashboard

Add a user account

When you add a user account, the assigned user can log on to the network, and you can give the user permission to access network resources such as shared folders and the Remote Web Access site. Windows Server Essentials includes the Add a User Account Wizard that helps you:

  • Provide a name and password for the user account.

  • Define the account as either an administrator or as a standard user.

  • Select which shared folders the user account can access.

  • Specify if the user account has remote access to the network.

  • Select email options if applicable.

  • Assign a Microsoft Online Services account (referred to as a Microsoft 365 account in Windows Server Essentials) if applicable.

  • Assign user groups ( Windows Server Essentials only).

[!NOTE]

  • Non-ASCII characters are not supported in Microsoft Azure Active Directory (Azure AD). Do not use any non-ASCII characters in your password, if your server is integrated with Azure AD.
    • The email options are only available if you install an add-in that provides email service.
To add a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the Users Tasks pane, click Add a user account. The Add a User Account Wizard appears.

  4. Follow the instructions to complete the wizard.

Remove a user account

When you choose to remove a user account from the server, a wizard deletes the selected account. Because of this, you can no longer use the account to log on to the network or to access any of the network resources. As an option, you can also delete the files for the user account at the same time that you remove the account. If you do not want to permanently remove the user account, you can deactivate the user account instead to suspend access to network resources.

[!IMPORTANT]
If a user account has a Microsoft online account assigned, when you remove the user account, the online account also is removed from Microsoft Online Services, and the user’s data, including email, is subject to data retention policies in Microsoft Online Services. If you want to retain user data for the online account, deactivate the user account instead of removing it. For more information, see Manage Online Accounts for Users.

To remove a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to remove.

  4. In the <User Account> Tasks pane, click Remove the user account. The Delete a User Account Wizard appears.

  5. On the Do you want to keep the files? page of the wizard, you can choose to delete the user’s files, including File History backups and the redirected folder for the user account. To keep the user’s files, leave the check box empty. After making your selection, click Next.

  6. Click Delete account.

[!NOTE]
After you remove a user account, the account no longer appears in the list of user accounts. If you chose to delete the files, the server permanently deletes the user’s folder from the Users server folder and from the File History Backups server folder.

If you have an integrated email provider, the email account assigned to the user account will also be removed.

View user accounts

The Users section of the Windows Server Essentials Dashboard displays a list of network user accounts. The list also provides additional information about each account.

To view a list of user accounts
  1. Open the Windows Server Essentials Dashboard.

  2. On the main navigation bar, click Users.

  3. The Dashboard displays a current list of user accounts.

To view or change properties for a user account
  1. In the list of user accounts, select the account for which you want to view or change properties.

  2. In the <User Account> Tasks pane, click View the account properties. The Properties page for the user account appears.

  3. Click a tab to display the properties for that account feature.

  4. To save any changes that you make to the user account properties, click Apply.

Change the display name for the user account

The display name is the name that appears in the Name column on the Users page of the Dashboard. Changing the display name does not change the logon or sign-in name for a user account.

To change the display name for a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to change.

  4. In the <User Account> Tasks pane, click View the account properties. The Properties page for the user account appears.

  5. On the General tab, type a new First name and Last name for the user account, and then click OK.

    The new display name appears in the list of user accounts.

Activate a user account

When you activate a user account, the assigned user can log on to the network and access network resources to which the account has permission, such as shared folders and the Remote Web Access site.

[!NOTE]
You can only activate a user account that is deactivated. You cannot activate a user account after you remove it from the server.

To activate a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list view, select the user account that you want to activate.

  4. In the <User Account> Tasks pane, click Activate the user account.

  5. In the confirmation window, click Yes to confirm your action.

[!NOTE]
After you activate a user account, the status for the account displays Active. The user account regains the same access rights that were assigned prior to account deactivation.

If you have an integrated email provider, the email account assigned to the user account will also be activated.

Deactivate a user account

When you deactivate a user account, account access to the server is temporarily suspended. Because of this, the assigned user cannot use the account to access network resources such as shared folders or the Remote Web Access site until you activate the account.

If the user account has a Microsoft online account assigned, the online account is also deactivated. The user cannot use resources in Microsoft 365 and other online services that you subscribe to, but the user’s data, including email, is retained in Microsoft Online Services.

[!NOTE]
You can only deactivate a user account that is currently active.

To deactivate a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list view, select the user account that you want to deactivate.

  4. In the <User Account> Tasks pane, click Deactivate the user account.

  5. In the confirmation window, click Yes to confirm your action.

[!NOTE]
After you deactivate a user account, the status for the account displays Inactive.

If you have an integrated email provider, the email account assigned to the user account will also be deactivated.

Understand user accounts

A user account provides important information to Windows Server Essentials, which enables individuals to access information that is stored on the server, and makes it possible for individual users to create and manage their files and settings. Users can log on to any computer on the network if they have a Windows Server Essentials user account and they have permissions to access a computer. Users access their user accounts with their user name and password.

There are two main types of user accounts. Each type gives users a different level of control over the computer:

  • Standard accounts are for everyday computing. The standard account helps protect your network by preventing users from making changes that affect other users, such as deleting files or changing network settings.

  • Administrator accounts provide the most control over a computer network. You should assign the administrator account type only when necessary.

Manage user accounts using the Dashboard

Windows Server Essentials makes it possible to perform common administrative tasks by using the Windows Server Essentials Dashboard. By default, the Users page of the Dashboard includes two tabs: Users and Users Groups.

[!NOTE]

  • If you integrate your server that is running Windows Server Essentials with Microsoft 365, a new tab called Distribution Groups is also added within the Users page of the Dashboard.
    • In Windows Server Essentials, the Users page of the Dashboard includes only a single tab — Users.

The Users tab includes the following:

  • A list of user accounts, which displays:

    • The name of the user.

    • The Logon name for the user account.

    • Whether the user account has Anywhere Access permission. Anywhere Access permission for a user account is either Allowed or Not allowed.

    • Whether the File History for this user account is managed by the server running Windows Server Essentials. The File History status for a user account is either Managed or Not managed.

    • The level of access that is assigned to the user account. You can assign either Standard user access or Administrator access for a user account.

    • The user account status. A user account can be Active, Inactive, or Incomplete.

    • In Windows Server Essentials, if the server is integrated with Microsoft 365 or Windows Intune, the Microsoft online account is displayed.

    • In Windows Server Essentials, if the server is integrated with Microsoft 365, the status of the account (known in Windows Server Essentials as the Microsoft online account) for the user account is displayed.

  • A details pane with additional information about a selected user account.

  • A tasks pane that includes:

    • A set of user account administrative tasks such as viewing and removing user accounts, and changing passwords.

    • Tasks that allow you to globally set or change settings for all user accounts in the network.

    The following table describes the various user account tasks that are available from the Users tab. Some of the tasks are user account-specific, and they are only visible when you select a user account in the list.

[!NOTE]
If you integrate Microsoft 365 with Windows Server Essentials, additional tasks will become available. For more information, see Manage Online Accounts for Users.

User account tasks in the Dashboard

Task name Description
View the account properties Enables you to view and change the properties of the selected user account, and to specify folder access permissions for the account.
Deactivate the user account A user account that is deactivated cannot log on to the network or access network resources such as shared folders or printers.
Activate the user account A user account that is activated can log on to the network and can access network resources as defined by the account permissions.
Remove the user account Enables you to remove the selected user account.
Change the user account password Enables you to reset the network password for the selected user account.
Add a user account Starts the Add a User Account Wizard, which enables you to create a single new user account that has either standard user access or administrator access.
Assign a Microsoft online account Adds a Microsoft online account to the local network user account that is selected.

This task is displayed when your server is integrated with Microsoft online services, such as Microsoft 365.

Add Microsoft online accounts Adds Microsoft online accounts and associates them to local network user accounts.

This task is displayed when your server is integrated with Microsoft online services, such as Microsoft 365.

Set the password policy Enables you to change the values of the password polices for your network.
Import Microsoft online accounts Performs a bulk import of accounts from Microsoft online services into the local network.

This task is displayed when your server is integrated with Microsoft online services, such as Microsoft 365.

Refresh Refreshes the Users tab.

This task is applicable to Windows Server Essentials.

Change File History settings Enables you to change File History settings, such as backup frequency, or backup duration.

This task is applicable to Windows Server Essentials.

Export all remote connections Creates a .CSV-format file of all remote connections to the server that have occurred over the past 30 days.

Managing passwords and access

The following topics provide information about how to use the Windows Server Essentials Dashboard to manage user account passwords and user access to the shared folders on the server:

  • Change or reset the password for a user account

  • What you should know about password policies

  • Change the password policy

  • Level of access to shared folders

  • Retain and manage access to files for removed user accounts

  • Synchronize the DSRM password with the network administrator password

  • Give user accounts remote desktop permission

  • Enable users to access resources on the server

  • Change remote access permissions for a user account

  • Change virtual private network permissions for a user account

  • Change access to internal shared folders for a user account

  • Allow user accounts to establish a remote desktop session to their computer

Change or reset the password for a user account

To change or reset a user account password, follow these steps.

To reset the password for a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to reset.

  4. In the <User Account> Tasks pane, click Change the user account password. The Change User Account Password Wizard appears.

  5. Type a new password for the user account, and then type the password again to confirm it.

  6. Click Change password.

  7. Provide the new password to the user.

    [!IMPORTANT]

    • You may not be able to change your password if the password policy for your account has been set to Passwords never expire.
      • Non-ASCII characters are not supported in Azure AD. Therefore, if your server is integrated with Azure AD, do not use any non-ASCII characters in your password.
      • If a Microsoft online account (known in Windows Server Essentials as a Microsoft 365 account) is assigned to the user, the password is synchronized with the online account password. The user will use the new password to sign in on the server or sign in to Microsoft 365. For more information, see Manage Online Accounts for Users.

What you should know about password policies

The password policy is a set of rules that define how users create and use passwords. The policy helps to prevent unauthorized access to user data and other information that is stored on the server. The password policy is applied to all user accounts that access the network.

The Windows Server Essentials password policy consists of three primary elements as follows:

  • Password length. The longer a password is, the more secure it is. Blank passwords are not secure.

  • Password complexity. Complex passwords contain a mixture of uppercase and lowercase letters (a-z, A-Z), base numbers (0-9), and non-alphabetic symbols (such as; !,@,#,_,-). Complex passwords are much less susceptible to unauthorized access. Passwords that contain user names, birthdates, or other personal information do not provide adequate security.

  • Password age. Windows Server Essentials requires that users change their password at least once every 180 days. As an option, you can choose to have passwords never expire.

    To make it easier to implement a password policy on your computer network, Windows Server Essentials provides a simple tool that allows you to set or change the password policy to any of the following four pre-defined policy profiles:

  • Weak. Users can specify any password that is not blank.

  • Medium. These passwords must contain at least 5 characters. A complex password is not required.

  • Medium Strong. These passwords must contain at least 5 characters, and must include letters, numbers, and symbols.

  • Strong. These passwords must contain at least 7 characters, and must include letters, numbers, and symbols. These passwords are more secure, but may be more difficult for users to remember.

    [!NOTE]
    Passwords cannot contain the user name or email address.

    If you integrate with Microsoft 365, the integration enforces the Strong password policy, and updates the policy to include the following requirements:

    • Passwords must contain 8 �16 characters.
      • Passwords cannot contain a space or the Microsoft 365 email name.

    By default, server installation sets the default password policy to the Strong option.

Change the password policy

Use the following procedure to set or change the password policy to any of four pre-defined policy profiles.

To change the password policy
  1. Open the Windows Server Essentials Dashboard, and then click Users.

  2. In the Users Tasks pane, click Set the password policy.

  3. On the Change the Password Policy screen, set the level of password strength by moving the slider.

    Microsoft recommends that you set the password strength to Strong.

    [!NOTE]
    As an option, you can also select Passwords never expire. This setting is less secure, and so it is not recommended.

  4. Click Change policy.

Level of access to shared folders

As a best practice, you should assign the most restrictive permissions available that still allow users to perform required tasks.

You have three access settings available for the shared folders on the server:

  • Read/Write. Choose this setting if you want to allow the user account permission to create, change, and delete any files in the shared folder.

  • Read only. Choose this setting if you want to allow the user account permission to only read the files in the shared folder. User accounts with read-only access cannot create, change, or delete any files in the shared folder.

  • No access. Choose this setting if you do not want the user account to access any files in the shared folder.

Retain and manage access to files for removed user accounts

The network administrator can remove a user account and choose to keep the user’s files for future use. In this scenario, the removed user account can no longer be used to sign in to the network; however, the files for this user will be saved in a shared folder, which can be shared with another user.

[!IMPORTANT]
Be aware that if you remove a user account that has a Microsoft online account assigned, the online account is also removed, and the user data, including email, is subject to data retention policies in Microsoft Online Services. To retain the user data for the online account, deactivate the user account instead of removing it. For more information, see Manage Online Accounts for Users.

To remove a user account but retain access to the user’s files
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to remove.

  4. In the <User Account> Tasks pane, click Remove the user account. The Delete a User Account Wizard appears.

  5. On the Do you want to keep the files? page, make sure that the Delete the files including File History backups and redirected folder for this user account check box is clear, and then click Next.

    A confirmation page appears warning you that are deleting the account but keeping the files.

  6. Click Delete account to remove the user account.

    After the user account is removed, the administrator can give another user account access to the shared folder.

To give a user account permission to access a shared folder
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Storage, and then click the Server Folders tab.

  3. In the list of folders, select the Users folder.

  4. In the Users Tasks pane, click Open the folder. Windows Explorer opens and displays the contents of the Users folder.

  5. Right-click the folder for the user account that you want to share, and then click Properties.

  6. In <User Account> Properties, click the Sharing tab, and then click Share.

  7. In the File Sharing window, type or select the user account name with whom you want to share the folder, and then click Add.

  8. Choose the Permission Level that you want the user account to have, and then click Share.

Synchronize the DSRM password with the network administrator password

Directory Services Restore Mode (DSRM) is a special boot mode for repairing or recovering Active Directory. The operating system uses DSRM to log on to the computer if Active Directory fails or needs to be restored. If your network administrator password and the DSRM password are different, DSRM will not load.

During a clean, first-time installation of Windows Server Essentials, the program sets the DSRM password to the network administrator account password that you specify during setup or in the migration answer file. When you change your network administrator password (as recommended typically every 60 days for increased server security), the password change is not forwarded to DSRM. This results in a password mismatch. If this occurs, you can use the following solutions to manually or automatically synchronize your network administrator’s password with the DSRM password.

To manually synchronize the DSRM password to a network administrator account
  1. At a command prompt, run ntdsutil.exe to open the ntdsutil tool.

  2. To reset the DSRM password, type set dsrm password.

  3. To synchronize the DSRM password on a domain controller with the current network administrator’s account, type:

    sync from domain account <current_network_administrator_account>, and then press Enter.

    Because you will periodically change the password for the network administrator account, to ensure that the DSRM password is always the same as the current password of the network administrator, we recommend that you create a schedule task to automatically synchronize the DSRM password to the network administrator password daily.

To automatically synchronize the DSRM password to a network administrator account
  1. From the server, open Administrative Tools, and then double-click Task Scheduler.

  2. In the Task Scheduler Actions pane, click Create Task.

  3. In the Name text box, type a name for the task such as AutoSync DSRM Password, and then select the Run with highest privileges option.

  4. Define when the task should run:

    1. In the Create Task dialog box, click the Triggers tab, and then click New.

    2. In the New Trigger dialog box, select your recurrence option, specify the recurrence interval, and choose a start time.

      [!NOTE]
      As a best practice, you should set the task to run daily during non-business hours.

    3. Click OK to save your changes and return to the Create Task dialog box.

  5. Define the task actions:

    1. Click the Actions tab, and then click New. The New Action dialog box appears.

    2. In the Action list, click Start a program, and then browse to C:WINDOWSSYSTEM32ntdsutil.exe.

    3. In the Add arguments(optional) text box, type the following (you must include the quotation marks): set dsrm password sync from domain account SBS_network_administrator_account q q where SBS_network_administrator_account is the current network administrator’s account name.

  6. Click OK twice to save the task and close the Create Task dialog box. The new task appears in the Active Tasks section of Task Schedule.

Give user accounts remote desktop permission

In the default installation of Windows Server Essentials, network users do not have permission to establish a remote connection to computers or other resources on the network.

Before network users can establish a remote connection to network resources, you must first set up Anywhere Access. After you set up Anywhere Access, users can access files, applications, and computers in your office network from a device in any location with an Internet connection.

The Set up Anywhere Access Wizard allows you to enable two methods of remote access:

  • Virtual private network (VPN)

  • Remote Web Access

    When you run the wizard, you can also choose to allow Anywhere Access for all current and newly added user accounts.

    To set up Anywhere Access, open the Dashboard Home page, click SETUP, and then click Set up Anywhere Access.

    For more information about Anywhere Access, see Manage Anywhere Access.

Enable users to access resources on the server

This section applies to a server running Windows Server Essentials or Windows Server Essentials, or to a server running Windows Server 2012 R2 Standard or Windows Server 2012 R2 Datacenter with the Windows Server Essentials Experience role installed.

If you want users to use remote access, and/or have individual user accounts, after you finish connecting a computer to the server, you can create new network user accounts for the users of the networked computer on the server by using the Dashboard. For more information about creating a user account, see Add a user account. After creating the user accounts, you must provide the network user name and password information to the users of the client computer so that they can access resources on the server by using the Launchpad.

For each user account that you create you can set access for the following through the user account properties:

  • Shared folders. By default, network administrators have Read/Write permission to all the shared folders, and standard user accounts have Read-only permissions to the Company folder. If media streaming is enabled, you can assign folder access permissions for individual standard user accounts for the following shared folders: Music, Pictures, Recorded TV, and Videos. You can set permissions for user accounts to access shared folders on the Shared folders tab of the user account properties.

  • Anywhere Access. By default, network administrators can use either VPN or Remote Web Access to access server resources. For standard user accounts, you must set user account permissions on the Anywhere Access tab.

  • Computer access. By default, network administrators can access all the computers in the network. However, for standard user accounts you can set individual user account permissions for accessing computers on the network on the Computer access tab of the user account properties.

To edit user account properties in Windows Server Essentials 2012 R2
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click USERS.

  3. In the list of user accounts, select the user account that you want to edit.

  4. In the <User Account> Tasks pane, click View the account properties.

  5. In the <User Account> Properties, do the following:

    1. On the Shared folders tab, set the appropriate folder permissions for each shared folder as needed.

    2. On the Anywhere Access tab:

      1. To allow a user to connect to the server by using VPN, select the Allow Virtual Private Network (VPN) check box.

      2. To allow a user to connect to the server by using Remote Web Access, select the Allow Remote Web Access and access to web services applications check box.

    3. On the Computer access tab, select the network computers that you would like the user to have access to.

To edit user account properties in Windows Server Essentials 2012
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click USERS.

  3. In the list of user accounts, select the user account that you want to edit.

  4. In the <User Account> Tasks pane, click Properties.

  5. In the <User Account> Properties, do the following:

    1. On the General tab, select User can view network health alerts if the user account needs to access network health reports.

    2. On the Shared folders tab, set the appropriate folder permissions for each shared folder as needed.

    3. On the Anywhere Access tab:

      1. To allow a user to connect to the server by using VPN, select the Allow Virtual Private Network (VPN) check box.

      2. To allow a user to connect to the server by using Remote Web Access, select the Allow Remote Web Access and access to web services applications check box.

    4. On the Computer access tab, select the network computers that you would like the user to have access to.

Change remote access permissions for a user account

A user can access resources located on the server from a remote location by using a virtual private network (VPN), Remote Web Access, or other web services applications. By default, remote access permissions are turned on for network users when you configure Anywhere Access in Windows Server Essentials by using the Dashboard.

To change remote access permissions for a user account
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click Users.

  3. In the list of user accounts, select the user account that you want to change.

  4. In the <User Account> Tasks pane, click View the account properties. The Properties page for the user account appears.

  5. On the Anywhere Access tab, do the following:

    • Select the Allow Virtual Private Network (VPN) check box to allow a user to connect to the server by using VPN.

    • Select the Allow Remote Web Access and access to web services applications check box to allow a user to connect to the server by using Remote Web Access.

  6. Click Apply, and then click OK.

Change virtual private network permissions for a user account

You can use a virtual private network (VPN) to connect to Windows Server Essentials and access all your resources that are stored on the server. This is especially useful if you have a client computer that is set up with network accounts that can be used to connect to a hosted Windows Server Essentials server through a VPN connection. All the newly created user accounts on the hosted Windows Server Essentials server must use VPN to log on to the client computer for the first time.

To change VPN permissions for network users
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click USERS.

  3. In the list of user accounts, select the user account to which you want to grant permissions to access the desktop remotely.

  4. In the <User Account> Tasks pane, click Properties.

  5. In the <User Account> Properties, click the Anywhere Access tab.

  6. On the Anywhere Access tab, to allow a user to connect to the server by using VPN, select the Allow Virtual Private Network (VPN) check box.

  7. Click Apply, and then click OK.

Change access to internal shared folders for a user account

You can manage access to any shared folders on the server by using the tasks on the Server Folders tab of the Dashboard. By default, the following server folders are created when you install Windows Server Essentials:

  • Client Computer Backups. Used to store client computer backups created by Windows Server backup. This server folder is not shared.

  • Company. Used to store and access documents related to your organization by network users.

  • File History Backups. By default, Windows Server Essentials stores file backups created by using File History. This server folder is not shared.

  • Folder Redirection. Used to store and access folders that are set up for folder redirection by network users. This server folder is not shared.

  • Music. Used to store and access music files by network users. This folder is created when you turn on media sharing.

  • Pictures. Used to store and access pictures by network users. This folder is created when you turn on media sharing.

  • Recorded TV. Used to store and access recorded TV programs by network users. This folder is created when you turn on media sharing.

  • Videos. Used to store and access videos by network users. This folder is created when you turn on media sharing.

  • Users. Used to store and access files by network users. A user-specific folder is automatically generated in the Users server folder for every network user account that you create.

To change access to a shared folder for a user account
  1. Open the Windows Server Essentials Dashboard.

  2. Click STORAGE, and then click Server Folders.

  3. Navigate to and select the server folder for which you want to modify permissions.

  4. In the task pane, click View the folder properties.

  5. In <FolderName> Properties, click Sharing, and select the appropriate user access level for the listed user accounts, and then click Apply.

    [!NOTE]
    You cannot modify the sharing permissions for File History Backups, Folder Redirection, and Users server folders. Hence, the folder properties of these server folders do not include a Sharing tab.

Allow user accounts to establish a remote desktop session to their computer

This section applies to a server running Windows Server Essentials or Windows Server Essentials, or to a server running Windows Server 2012 R2 Standard or Windows Server 2012 R2 Datacenter with the Windows Server Essentials Experience role installed.

The network administrator can grant permissions to network users that allow them to access their network computers from a remote location.

To enable users to access their network computers from a remote location
  1. Open the Windows Server Essentials Dashboard.

  2. On the navigation bar, click USERS.

  3. In the list of user accounts, select the user account that you want to grant permissions for accessing the desktop remotely.

  4. In the <User Account> Tasks pane, click Properties.

  5. In the <User Account> Properties, click the Computer Access tab.

  6. Select the computers that you want this user account to be able to access remotely, and then click OK.

Additional References

  • Manage Online Accounts for Users

  • Get Connected

  • Use Windows Server Essentials

  • Manage Windows Server Essentials

Всем добрый день. Хотелось бы рассказать о установке и конфигурировании Windows Server 2012 R2 Essentials. Эта статья не является призывом к повсеместной установке Windows или пропагандой продуктов Microsoft. Хотелось бы просто рассказать об интересном продукте и возможно кого-то данный продукт заинтересует и пригодится в работе. Статью я старался писать для неподготовленного читателя, поэтому минимум терминологии и максимум обобщения некоторых понятий.

Немножко о редакции Essentials

Windows Server 2012 R2 Essentials – это одна из редакция серверной операционной системы от компании Microsoft. Однако имеет множество отличий от редакций Standard и Datacenter. Что же умеет Essentials:

  1. Авторизация и аутентификация пользователей вашей сети (домен контроллер службы каталогов Active Directory)
  2. Файловое хранилище (роль файлового сервера)
  3. Удаленный доступ к корпоративной сети (VPN и DirectAccess сервер)
  4. Удаленный доступ к файловому хранилищу через Web-интерфейс (настроенный для этого IIS)
  5. Удаленный доступ к рабочем столам клиентских машин (шлюз удаленных рабочих столов)
  6. Резервное копирование клиентских машин (windows backup)
  7. Резервное копирование самого сервера (windows backup)
  8. Интеграция с облачными технологиями Microsoft (Office 365, Azure backup и т.д.)
  9. Консоль единой настройки Essentials, которая позволит настроить возможности описанные выше даже не подготовленному системному администратору.

Если обобщить, то редакция Essentials имеет большинство ролей Windows Server. Некоторые из этих ролей настроены, некоторые доступны в полном объеме, некоторые как например Hyper-V с серьезными ограничениями. Компенсацией за эти все ограничения является более низкая цена, включенных 25 клиентских лицензий, централизованная и простая настройка. Хочу так же отметить, что процесс лицензирования серьезно отличается. Вы можете использовать эту редакцию только для организаций, где число пользователей не превышает 25. Но повторюсь вам не нужно приобретать какие-либо клиентские лицензии.
Таким образом Essentials очень хорошо подходит для малых организаций, которые бы хотели пользоваться большинством современных решений для обеспечения безопасности корпоративной сети, хранения документов, удаленного доступа, возможно, почтовые системы. Для тех организаций, которые не хотели бы тратить много денег как на саму ИТ инфраструктуру, так и на работу высококвалифицированных системных администраторов.

Установка и первоначальная настройка

Установка данной ОС вполне стандартная процедура. Если вы хоть раз устанавливали Windows Vista /7/8/8.1, то вы без проблем установите и Essentials. Однако, если вы не устанавливали ни вышеперечисленных ОС ни любую из последних версий серверных ОС, то я рекомендую или довериться профессионалу или как минимум студенту второкурснику.
Единственное, что я бы рекомендовал в момент установки, если у вас один жёсткий диск, разбить его на два раздела. Т.е. сделать так чтобы после установки в системе был второй уже отформатированный жесткий диск. Безусловно это только рекомендация, вы сможете подготовить второй диск в последующем, однако придется переносить некоторые папки.
После первого входа в свежеустановленную ОС запустится мастер «Настройка Windows Server Essentials», который поможет произвести первоначальную настройку.

image

На первом шаге вам необходимо задать настройки даты и времени.

image

На втором шаге вам необходимо заполнить на английском языке название компании. Имя домена и имя сервера будут в таком случая сгенерированы автоматически, хотя конечно вы можете поменять их.

image

На следующем шаге вам необходимо заполнить имя администратора и задать его пароль.

image

На последнем шаге необходимо указать способ обновления операционной системы и нажать настроить

image

После этого запустится процесс, который произведет все необходимые первоначальные настройки. Это займет около 30 минут и потребует несколько перезагрузок. За это время ОС успеет в частности установить необходимые роли и настроить сервер в качестве домен контроллера для нового домена.

image

Настройка

Продукт весьма большой и обширный, я хотел бы рассказать о самых базовых возможностях настройки, такие как создание пользователей, настройка удаленного доступа, создание папок, подключение клиентов.
Вся настройка происходит в панели мониторинга, доступ к ней есть с рабочего стола, панели быстрого запуска и стартового экрана.

image

Создание пользователей

При первом запуске данной панели вам откроется вкладка установка, на которой можно выполнить ряд задач по настройке сервера.
Я начну с добавления пользователей. Щелкаем ссылку для добавления учетных записей.

image

Заполняем поля формы и нажимаем далее

image

Выбираем уровень доступа к общим папкам, которые были созданы. На начальном этапе существует лишь одна – Организация. В дальнейшем вы можете менять разрешения на доступ как из свойств пользователя, так и из свойств папки.

image

Далее устанавливаем, что будет доступно для пользователя удаленно. Про удаленный доступ расскажу чуть позже.

image

Учетная запись создана. Жмем закрыть.

image

Подобным образом можно создать множество учетных записей. Безусловно, Вы можете пользоваться и привычным и знакомым для вас интерфейсом Active Directory Users and Computers, но в таком случае выдавать разрешения на доступ вам придется ручками.

Добавление папок сервера

Для добавление папок существует другой мастер, который поможет и создать папку на диске, и общий доступ для нее настроить, и разрешения выдать. Для его запуска необходимо щелкнуть соответствующую ссылку в панели мониторинга.
image

В открывшемся окне мастера вводим название. Можно изменить расположение и добавить описание. Нажимаем далее.

image

На следующей странице указываем необходимые разрешения. При необходимости делаем ее недоступной при удаленном доступе.

image

С последнего шага данного мастера можно запустить мастер настройки архивации. Нажимаем закрыть.

image

Настройка удаленного доступа

Один, наверное, из самых сложных этапов настройки Windows Server 2012R2 Essentials. Настройка так же происходит с помощью мастера. Мастер традиционно запускается из панели мониторинга.

image

Первое что Вам необходимо настроить это ваш маршрутизатор – об этом Вам сообщает мастер. На самом деле Вам необходимо настроить перенаправление портов на маршрутизаторе. Для этого у маршрутизатора должен быть «белый» IP адрес. А на самом сервере лучше настроить статический IP адрес. Перенаправить нужно следующие порты 80, 443, 1723, 987 на IP адрес вашего сервера. В общем то процедуру настройки может выполнить и сам мастер, если ваш маршрутизатор поддерживает UPnP. Я делал настройку ручками, поэтому пропустил данный шаг.

image

После этого открывается новый мастер настройки доменного имени. Нажимаем далее.

image

Мастер предложит ввести имя внешнего домена или создать новый. Для собственного домена Вам понадобится сертификат, поэтому рассмотрим тут вариант настройки с использованием домена Microsoft. Выбираем другое имя домена и щелкаем далее.

image

Рассмотрим вариант с доменом компании Microsoft.

image

Тут попросит авторизоваться в Microsoft Account.

image

После авторизации принимаем заявление о конфиденциальности.

image

Вводим имя домена и проверяем доступность, жмем настроить.

image

Ну что с именем домена разобрались. Продолжаем — далее.

image

Выбираем какие именно возможности будут доступны.

image

Выбираем будет ли доступен удаленный доступ для текущих пользователей.

image

Ну вот и все можете попробовать зайти на сайт wiseguy.remoteweaccess.com.

image

C данного веб сайта есть возможность доступа к общим папкам и доступ к рабочим столам пользователей.

Подключение рабочих станций

Если мы и на этот раз откроем панель мониторинга и перейдем на страницу подключение компьютеров, то увидим там лишь инструкцию к действию

image

Следуя инструкции на клиенте в браузере открываем страничку http://<Имя сервера>/connect. Нажимаем ссылку для скачивания.

image

Выбираем выполнить.
image

Принимаем лицензию и ждем.

image

Вводим имя пользователя и пароль пользователя данного компьютера или администратора. Я вводил учетку пользователя.

image

Перезагружаем сервер.

image

Выбираем, кто будет пользоваться компьютером.

image

Вводим описание компьютера.

image

Параметры архивации.

image

Ура! Готово.

image

Заходим на компьютер под учетной записью пользователя.

image

Можно работать. На рабочем столе уже есть все необходимые ярлыки.

image

Post scriptum

Безусловно Windows Server 2012R2 Essentials – это не панацея. Автоматизировано в ней многое, но не все. Тем не менее для малых организаций, это весьма интересное решение и его необходимо рассмотреть. В этой статье я рассказал лишь о самых базовых настройках Essentials. Если вы желаете чуть ближе познакомиться с продуктом, вы можете посмотреть мои видеодоклады на сайте Techdays.ru .

Windows Server 2012 R2 Essentials первый взгляд: www.techdays.ru/videos/7351.html — тут можно внимательно изучить процесс инсталляции Essentials.

Windows Server 2012 R2 Essentials настройка: www.techdays.ru/videos/7370.html — рассмотрены настройка всех возможностей, показана настройка удаленного доступа для своего домена.

Windows Server 2012 R2 Essentials интеграция Office 365: www.techdays.ru/videos/7380.html — интеграция с облачным офисом от Microsoft.

Комментарии и вопросы приветствуются.

Like this post? Please share to your friends:
  • Как добавить локального пользователя в windows 10 home
  • Как добавить логический диск в windows 10
  • Как добавить линукс в меню загрузки windows 10
  • Как добавить линукс в загрузку windows 10
  • Как добавить линукс в домен windows