- Информация о материале
- Категория: Система
Для управления пользователями, также как и группами, в домене под управлением Windows Server, необходимо сначала создать этого пользователя. Для этого используется соответствующий механизм в виде оснастки «Управление компьютером«. Процедура заведения пользователя в домене простая.
Заведение пользователя в домене.
Выполняется в несколько шагов:
1. Открываем оснастку «Управление компьютером«. Проще всего это сделать нажав правой клавишей мышки на меню «Пуск«, далее выбираем «Администрирование«, затем «Пользователи и компьютеры Active Directory«. Второй вариант — комбинация клавиш Win+R, в открывшемся окне пишем compmgmt.msc, затем просто «Enter«.
2. В следующем окне «Active Directory — пользователи и компьютеры» нажимаем правой мышки на необходимом контейнере (например «Users«), в появившемся меню выбираем «Создать«, затем «Пользователь«.
3. Далее мы заполняем для нового пользователя:
- Имя — имя пользователя;
- Инициалы — инициалы пользователя (необязательно);
- Фамилия — фамилия пользователя;
- Полное имя — заполниться автоматически, после заполнения предыдущих пунктов;
- Имя входа пользователя — логин;
- Имя входа пользвателя (пред-Windows 2000) — заполнится автоматически, после заполнения имени входа пользователя.
Нажимаем кнопку «Далее» и попадаем в следующее меню.
4. В следующем окне достаточно указать пароль пользователя и подтверждение пароля, и нажать «Далее«. При этом когда пользователь домена зайдет на компьютер под своим логином и паролем, то система предложит ему сменить пароль. Зайти в систему будет возможно только при смене и подтверждении нового пароля.
5. Последнее окно служит для окончательной проверки правильности создания нового пользователя. Проверяем и нажимаем «Готово«. Новый пользователь будет создат в нужном контейнере и может работать в домене под своим логином и паролем.
Если что не понятно, можно посмотреть видео здесь:
- Также читайте:
- Установка Windows server 2012
- Windows server 2012 — установка роли Active Directory
- Архивирование и восстановление GPO Windows Server 2012
- Создание пользователя в домене Windows Server 2012
- WSUS — удаление ненужных обновлений
- Создание архива сервера Windows 2012
- Создание и подключение общего сетевого ресурса в домене Windows Server 2012
- Windows server 2019 — установка и настройка WSUS, создание и настройка GPO
- Windows server 2019 — добавление и удаление компьютера в домене
- Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя
- Windows server 2019 — установка и настройка Active Directory, DNS, DHCP
- Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене
- Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей
©
2015 — 2023
Все права защищены. Копирование материала без ссылки на сайт запрещено.
Доменом в Windows Server называют отдельную область безопасности компьютерной сети.
В домене может быть один или несколько серверов выполняющих различные роли. Разрешения, применяемые администратором, распространяются на все компьютеры в домене.
Пользователь, имеющий учетную запись в домене, может войти в систему на любом компьютере, иметь учетную запись на локальном компьютере не требуется.
В домене могут работать несколько тысяч пользователей, при этом компьютеры могут принадлежать к разным локальным сетям.
Несколько доменов имеющих одну и ту же конфигурацию и глобальный каталог называют деревом доменов. Несколько деревьев могут быть объединены в лес.
В домене есть такое понятие как групповая политика. Под групповой политикой понимают настройки системы, которые применяются к группе пользователей. Изменения групповой политики затрагивают всех пользователей входящих в эту политику.
Параметры групповой политики хранятся в виде объектов групповой политики (Group Policy Object, GPO). Эти объекты хранятся в каталоге подобно другим объектам. Различают два вида объектов групповой политики – объекты групповой политики, создаваемые в контексте службы каталога, и локальные объекты групповой политики.
Не будем подробно вдаваться в теорию и перейдем к практике.
Запускаем Диспетчер серверов -> «Добавить роли и компоненты».
На первой странице мастер напоминает, что необходимо сделать перед началом добавления роли на сервер. Нажмите «Далее».
На втором шаге нужно выбрать «Установка ролей и компонентов» и нажать «Далее».
Выбираем сервер, на который нужно установить Active Directory (он у нас один), «Далее».
Теперь нужно выбрать роль, которую нужно добавить. Выбираем «Доменные службы Active Directory». После чего откроется окно, в котором будет предложено установить службы ролей или компоненты, необходимые для установки роли Active Directory, нажмите кнопку «Добавить компоненты», после чего кликните «Далее».
PЗатем нажимайте «Далее», «Далее» и «Установить».
Перезапустите компьютер.
После того, как роль была добавлена на сервер, необходимо настроить доменную службу, то есть установить и настроить контроллер домена.
Настройка контроллера домена Windows Server
Запустите «Мастер настройки доменных служб Active Directory», для чего нажмите на иконку «Уведомления» в диспетчере сервера, затем нажмите «Повысить роль этого сервера до уровня контроллера домена».
Выберите пункт «Добавить новый лес», затем введите имя домена в поле «Имя корневого домена». Домены в сети Windows имеют аналогичные названия с доменами в интернете. Я ввел имя домена buzov.com. Нажимаем «Далее».
На этом шаге можно изменить совместимость режима работы леса и корневого домена. Оставьте настройки по умолчанию. Задайте пароль для DSRM (Directory Service Restore Mode – режим восстановления службы каталога) и нажмите «Далее».
Затем нажимайте «Далее» несколько раз до процесса установки.
Когда контроллер домена установиться компьютер будет перезагружен.
Добавление и настройка групп и пользователей в домене Windows Server
Теперь нужно добавить пользователей домена, что бы присоединить к сети рабочие места сотрудников.
Отроем «Пользователи и компьютеры Active Directory». Для этого перейдите в Пуск –> Панель управления –> Система и безопасность –> Администрирование –> Пользователи и компьютеры Active Directory.
Создадим отдел «Бухгалтерия», для этого выделите название домена и вызовите контекстное меню, в котором выберите (Создать – Подразделение). Введите имя отдела (бухгалтерия) и нажмите «OK»
Подразделения служат для управления группами компьютеров пользователей. Как правило их именуют в соответствии с подразделениями организации.
Создайте учетную запись пользователя в новом подразделении. Для этого в контекстном меню нового подразделения выберите пункт Создать –> Пользователь. Пусть первым пользователем будет Бухгалтер.
После ввода имени пользователя и учетной записи нажмите «Далее». Теперь нужно ввести пароль. По умолчанию пароль должен соответствовать требованиям сложности, то есть содержать три из четырех групп символов: заглавные буквы, строчные буквы, цифры, специальные знаки ( . , + – = ? № $ и так далее). Установите параметр «Требовать смену пароля при следующем входе в систему».
Создайте учетную запись группы безопасности. Для этого в контекстном меню нового подразделения (бухгалтерия) выберите пункт (Создать – Группа). При создании новой группы безопасности необходимо ввести имя, область действия и тип группы. Область действия определяет видимость данной группы в службе каталога. Глобальная группа видна в любом домене службы каталога и ей могут назначаться привилегии доступа к ресурсам других доменов. Локальная группа видна только в своем домене, то есть ей будут доступны ресурсы только ее домена. Группы безопасности позволяют
объединять пользователей и другие группы для назначения им одинаковых привилегий на различные объекты. Группы распространения используются для рассылки сообщений, они не участвуют в разграничении прав доступа.
Теперь нужно ввести компьютер в домен и зайти под новым пользователем. Для этого на клиентском компьютере нужно указать DNS-адрес. Для этого откройте «Свойства сетевого подключения» (Пуск –> Панель управления –> Сеть и Интернет – >Центр управления сетями и общим доступом – Изменение параметров адаптера), вызовите контекстное меню подключения и выберите «Свойства».
Выделите «Протокол Интернета версии 4 (TCP/IPv4)», нажмите кнопку «Свойства», выберите «Использовать следующие адреса DNS-серверов» и в поле «Предпочитаемый DNS-сервер» укажите адрес вашего DNS-сервера. Проверьте, что задан IP-адрес и маска той же подсети, в которой находится сервер.
Присоединение компьютера к домену
Откройте свойства системы (Пуск –> Панель управления –> Система и безопасность –> Система –> Дополнительные параметры системы). Выберите вкладку «Имя компьютера» и нажмите «Изменить». Выберите «Компьютер является членом домена» и введите имя домена.
После этого необходимо ввести логин и пароль пользователя с правами присоединения к домену (обычно администратора домена). Если вы всё указали правильно, то появиться приветственное сообщение «Добро пожаловать в домен …».
Для того чтобы завершить присоединение, необходима перезагрузка.
После перезагрузки войдите в систему под доменной учётной записью пользователя, которая была создана ранее
После ввода пароля операционная система попросит вас сменить пароль.
Вернемся на сервер. Нажмите «Пуск» -> Администрирование и перейдите в окно Управления групповой политикой. Выбираем наш лес, домен, Объекты групповой политики, щелкаем правой кнопкой мыши -> создать. Называем его buh (это объект групповой политики для группы Бухгалтерия).
Теперь необходимо привязать данный объект групповой политики к созданной группе. Для этого нажмите правой кнопкой на созданное подразделение (Бухгалтерия) и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».
Далее выбираем созданный объект.
Выбранный объект должен появиться в списке связанных объектов групповой политики. Для редактирования параметров, определяемых данным объектом, нажмите на него правой кнопкой и выберите «Изменить».
Установка параметров безопасности
Установка параметров безопасности — завершающий этап настройка домена и групповых политик в Windows Server.
Ограничения парольной защиты
Ограничение на параметры парольной системы защиты задаются в контексте «Конфигурация компьютера». Выберите Конфигурация Windows –> Параметры безопасности –> Политики учетных записей –> Политика паролей.
В данном разделе объекта групповой политики определяются следующие параметры:
- «Минимальный срок действия пароля» задает периодичность смены пароля.
- «Минимальная длина пароля» определяет минимальное количество знаков пароля.
- «Максимальный срок действия пароля» определяет интервал времени, через который разрешается менять пароль.
- «Пароль должен отвечать требованиям сложности» определяет требования к составу групп знаков, которые должен включать пароль.
- «Хранить пароли, используя обратимое шифрование» задает способ хранения пароля в базе данных учетных записей.
- «Вести журнал паролей» определяет количество хранимых устаревших паролей пользователя.
Тут нужно указать необходимые параметры (определите самостоятельно).
Политика ограниченного использования программ
Объекты групповой политики позволяют запретить запуск определенных программ на всех компьютерах, на которые распространяется действие политики. Для этого необходимо в объекте групповой политики создать политику ограниченного использования программ и создать необходимые правила. Как это сделать.
Выберите раздел Конфигурация пользователя –> Политики –> Конфигурация Windows –> Параметры безопасности –> Политики ограниченного использования программ. Нажмите правой кнопкой на «Политики ограниченного использования программ», далее заходим в «Дополнительные правила» и жмем правой кнопкой мыши, затем выбираем «Создать правило для пути».
После обновления объекта групповой политики на рабочей станции, политика ограниченного использования программ вступит в действие и запуск программ, соответствующих правилам, будет невозможен.
Давайте запретим использовать командную строку на клиентском компьютере.
Запрет запуска командной строки (cmd.exe).
На этом все. Если у вас остались вопросы, обязательно задайте их в комментариях.
При попытке запустить командную строку на клиентской машине вы получите сообщение.
Содержание
Создание и управление учетными записями пользователей
Создание локальных учетных записей пользователей
Создание доменных учетных записей пользователей
Установка свойств локальной учетной записи пользователя
Установка свойств доменной учетной записи пользователя
Управление группами
Локальные группы
Группы Active Directory
Задачи администрирования, выполняемые в понедельник утром
Забытые пароли
Заблокированные пользователи
Использование новых средств для управления пользователями и группами
Центр администрирования Active Directory
Основные элементы ADAC
Навигация в ADAC
Просмотр хронологии Power Shell
Модуль Active Directory для Windows Power Shell
Создание пользователей
Установка паролей
Создание множества пользователей за раз
Разблокирование учетной записи пользователя
Включение учетной записи
Отключение учетной записи
Удаление группы
Вероятно, одной из наиболее распространенных задач, которые администратор
будет делать, причем не только во время развертывания, но также на протяже
нии существования среды Windows Server, является создание и управление учетными записями пользователей. Это звучит как довольно простая задача, однако она очень важна по причинам, связанным с управлением временем и с возможными последствиями в отношении безопасности. Администраторы сервера или консультанты должны хорошо понимать процесс. Им может показаться, что допустимо его проигнорировать, поскольку в обычной своей деятельности администраторы сервера или консультанты не создают учетные записи пользователей. Это может быть и так, но они, как правило, являются теми людьми, которые отвечают за создание первых пользователей в новой сети, определение процессов и передачу операции другой бригаде, отделу либо их потребителям. Те же самые старшие сотрудники также должны иметь возможность создания и управления учетными записями для служб и приложений на своих серверах, следуя передовому опыту.
Мы раскроем основы создания и управления учетными записями пользователей,
поэтому любому специалисту найдется, что почерпнуть из этой главы. В любой ситуации, когда доступен только PowerShel, эта глава послужит источником знаний о том, как справиться с подобной ситуацией. Мы покажем, каким образом создавать и управлять учетными записями пользователей из командной строки и PowerShel.
Переживать не стоит. В предшествующих главах вы уже видели, что клавиатурные
альтернативы иногда позволяют сберечь немало времени и усилий, и в данной ситуации тенденция остается неизменной.
Мы обсудим распространенные свойства и настройки, которые можно конфигу
рировать для учетных записей пользователей. Мы также рассмотрим группы, причины их использования, методы добавления/удаления пользователей в/из групп, а также рекомендуемые приемы назначения членства в группах. Мы раскроем все
эти темы в трех средах: автономная машина Windows Server, установка Server Core и Active Directory.
Мы продемонстрируем опции Windows Server 2012, большая часть которых иден
тична опциям Windows Server 2008 R2. В Windows Server 2012 доступен ряд новых приемов в форме новой задачи и управляющего инструмента на основе PowerSheI, который называется центром администрирования Active Directory (Active Directory
Administrative Center) и полностью построен поверх PowerSheI. Было добавлено намного больше модулей Active Directory для управления посредством инструмента PowerSheI, ero процессора командной строки и языка сценариев. Эти темы будут рассмотрены в конце главы. Мы уверены, что после чтения этой главы вы поймете значимость данных инструментов в плане экономии времени.
В этой главе вы изучите следующие темы:
• управление пользователями и группами;
• использование Active Directory Administrative Center в Windows Server 2012;
• управление пользователями и группами с помощью PowerShell.
СОВМЕСТИМОСТЬ С WINDOWS SERVER 2012 (R2)
Примите во внимание, что когда мы упоминаем Wmdows Server 2012, то имеем в виду также и Wmdows Server 2012 R2; все возможности применимы к обеим версиям.
Создание и управление учетными записями пользователей
В этом разделе будет показано, как создавать, управлять и удалять локальные
и доменные учетные записи пользователей. Вы узнаете, как выполнять указанные
задачи с применением инструментов администрирования с графическим пользова
тельским интерфейсом, командной строки и PowerShell, хотя вы должны осознавать,что инструменты командной строки скоро, по всей видимости, выйдут из употребления.
В Microsoft собираются усиленно продвигать PowerShell.
Рабочая среда для этой главы содержит контроллер домена по имени
DCO l . Ьigf i rт . сот и сервер-член под названием ServerOl . Ьigfirт . сот. Такая среда позволит продемонстрировать методы создания и управления локальными и доменными учетными записями пользователей.
Создание локальных учетных записей пользователей
Первыми мы рассмотрим способы создания локальных учетных записей пользователей. Для управления локальными учетными записями пользователей предусмотрен один главный инструмент — Computer Management (Управление компьютером), который можно открыть из диспетчера серверов, выбрав в меню Tools (Сервис) пункт Computer Management (Управление компьютером). Этот инструмент предоставляет все те же самые опции, что и при управлении пользователями и группами в Windows Server 2008 R2.
Для целей нашего примера войдите в систему на сервере ServerOl . Ьigfirm. com в качестве администратора, откройте окно Computer Management и раскройте папку Local Users and Groups Users (Локальные пользователи и группы Пользова тели), как показано на рис. 8.1.
Вы должны видеть две существующих учетных записи пользователей.
• Administrator (Администратор). Это стандартная учетная запись пользователя
администратора. Ниже она будет обсуждаться более подробно.
• Guest (Гость). Назначение этой учетной записи — позволить людям, не имею
щим действительной учетной записи пользователя, войти в систему локально
го компьютера. Такая учетная запись может понадобиться администратору при
наличии многочисленных приходящих и уходящих пользователей.
Рис. 8.1 . Локальные пользователи в окне Computer Maпagement
Вы заметите, что на значке учетной записи Guest имеется изображение неболь
шой стрелки, указывающей вниз. Причина в том, что согласно рекомендуемым
приемам эта учетная запись должна быть отключена и это делается по умолчанию.
Наличие учетной записи Guest не является распространенным требованием на сервере, поэтому необходимость в ее включении может никогда и не возникнуть.
УЧЕТНАЯ ЗАПИСЬ Admi.nistrator
Критически важно ·защитить учетную запись Administrator подходящим для орга
низации способом. Локальная учетная запись Administrator имеет полный кон
троль над сервером, а доменная учетная запись Administrator — над всей сетью!
Таким образом, для них должны быть выбраны очень строгие пароли.
В крупных организациях Administrator представляет собой анонимную учетную
запись. Загляните в журналы безопасности с помощью программы просмотра событий (Eveнt Yiewer) и задайте себе вопрос: «Как узнать, кто сделал данное действие, используя учетную запись Administrator?» Именно поэтому вы должны создать учетную запись пользователя с подходящими административными или делегированными правами для любого администратора, который в них нуждается. Применение стандартной учетной записи Administrator часто запрещено, если только не возникла чрезвычайная ситуация. Чтобы обеспечить безошибочный аудит каждого сотрудника отдела IT в журнале безопасности, понадобится создать учетную запись пользователя Administrator для каждого администратора. Затем вы должны удостовериться в том, что каждый администратор имеет только те права и разрешения,которые ему необходимы для выполнения своей работы.
В некоторых организациях принимают решение полностью отключить учетную запись Administrator. Такое решение нельзя назвать выдающимся, поскольку эта
учетная запись является великолепным «qерным входом» на случай блокировки паролей. Пользователь Administrator является таким, который блокировать нелыя.
Организации могли бы избрать альтернативный подход. Вы можете думать об этом как о «ядерной» опции. Вы наверняка видели фильмы, по сюжету которых два генерала должны ввести два разных ключа, qтобы запустить ракету с ядерной боеголовкой. Неqто похожее вы можете сделать с паролем учетной записи Administrator.
Он может устанавливаться двумя разными особами или даже отделами, причем один вводит первую половину пароля, а другой — вторую половину. Организации, нуждающиеся в опции подобного рода, возможно, располагают отделом IТ-безопасности или внутреннего аудита, который владеет первой половиной пароля, в то время как бригаде администраторов сервера оставляется вторая половина.
Последняя опция предполагает переименование учетной записи Administrator.
По поводу этой опции ведутся споры, поскольку идентификатор безопасности
(security identifier (SID) — код, используемый Windows для уникальной идентификации
объекта) учетной записи может быть предсказан, раз вы имеете доступ к серверу или домену. Некоторые утверЖдают, qто переименовывать эту учетную запись нецелесообразно.
Однако большинство атак из Интернета в действительности роботизированы, а не интеллектуальны. Они нацелены на типовые имена, такие как SA, root или Administrator,
и предпринимают атаки rрубой силой, пытаясь угадать пароль. Чтобы защититься от таких форм атак, учетную запись Administrator полезно переименовать.
В конечном счете, применимы те же самые старые правила безопасности.
Устанавливайте очень строгие пароли для учетных записей Administrator, сокращайте круг лиц, осведомленных о паролях, оrраниqивайте удаленный доступ, где только можно, и контролируйте физический доступ к своим серверам.
В рассматриваемом примере мы покажем, как создать учетную запись пользователя для нового сотрудника по имени S teve Red. В папке Local Users and GroupsUsers щелкните правой кнопкой мыши в центральной панели и выберите в контекстном меню пункт New User (Создать пользователя).
Откроется диалоговое окно New User (Новый пользователь). Заполните сведения о пользователе в перечисленных ниже полях этого диалогового окна (рис. 8.2).
Рис. 8.2. Соэдание новой локальной
• User Name (Имя пользователя ) . В этом поле указывается имя, которое пользователь будет вводить при входе в систему.
Мы настоятельно рекомендуем внедрить какой-то стандарт именоваучетной записи пользователяния. Организация меньшего размера может остановиться на имени SRed для
сотрудника по Steve Red. Вы можете решить воспользоваться какой-то число
вой схемой, к примеру, SRedlSRed, SRedSRedOl или SRedlOSRed. Некоторые
организации предпринимают дальнейшие действия. Другие применяют в качестве имени пользователя идентификатор сотрудника компании. Еще одни организации используют инициалы персоны (включая отчество) вместе с числом, к примеру, SMRedl О. Такие более анонимные системы могут оказаться подходящими, когда персональные данные считаются чувствительными.
• Full Name (Полное имя). В поле Full Name указывается имя особы, которая будет пользоваться учетной записью. Вряд ли ны решите хранить такие имена на
серверах, видимых из Интернета.
• Password (Пароль). В поле Password необходимо установить пароль. Один из
наилучших способов установки пароля предусматривает применение кодовой
фразы (passphrase). За дополнительными сведениями о кодовых фразах обра
щайтесь к учебному примеру далее в главе.
• User Must Change Password at Next Logon (Пользователь должен изменить па
роль при следующем входе). В рассматриваемом примере мы оставляем этот фла
жок отмеченным. Вы можете установить простой мя сообщения пароль вроде
»ваша новая кодовая фраза» 11 оставить флажок User Must Change Password at
Next Logon отмеченным (его состояние по умолчанию). Новый пользователь
получит возможность войти в систему, но будет обязан изменить свой пароль,
чтобы завершить процесс входа. Это гарантирует, что ни один из сотрудников
отдела 1Т не будет знать пароль пользователя. Вы заметите, что следующие два
флажка отображаются серым цветом и недоступны для использования. Они
станут доступными, если снять отметку с флажка User Must Change Password at
Next Logon. Указанные флажки противоположны по смыслу.
• User Cannot Change Password (Пользователь не может изменять пароль). Вы
можете принять решение предотвратить изменение пользователем пароля сво
ей учетной записи. Такая ситуация может возникать при создании учетной за
писи, которая будет применяться приложением или службой. Отметка этого
флажка лишает возможности изменить пароль программу или злоумышленни
ка, атакующего программу.
• Password Never Expires (Срок действия пароля никогда не истекает). Отметка
флажка Password Never Expires приводит к переопределению любых политик
истечения срока действия паролей, которые могут быть установлены где-то
в другом месте, например, в локальной системе или в групповой политике.
Скорее всего, вы будете использовать эту опцию только для учетных записей
служб. Вряд ли вы захотите, чтобы служба наподобие SQL Server прекратила
работу по причине истечения срока действия пароля для ее учетной записи.
• Account ls DisaЫed (Учетная запись отключена). Данный флажок должен быть
вполне понятен. Когда он отмечен, созданную учетную запись применять не
льзя. Это то, что было сделано с учетной записью пользователя Guest. Такое
действие также предпринимается при заблаговременном создании учетных
записей для пользователей и последующим их включением по мере того, как
пользователи действительно приступают к работе.
Вспомните, что установить простой для сообщения пароль можно только для
учетной записи пользователя, и это является тем действием, которое сотрудники
отдела IT выполняют на регулярной основе. Данная опция защитит такую уч:етную запись от неавторизованного использования до тех пор, пока сотрудник не начнет работать с ней и изменит пароль по своему усмотрению.
Щелчок на кнопке Create (Создать) приведет к созданию пользователя SRed и
очистке полей в диалоговом окне New User. Это позволяет быстро добавить дополнительных пользователей, не выбирая снова пункты меню. После создания пользователя щелкните на кнопке Close (Закрыть), чтобы закрыть диалоговое окно New User.
Как показано на рис. 8.3, пользователь теперь создан, и можно продолжить рабо
ту с этой учетной записью, чтобы ее использовать в дальнейшем.
Эта команда создает пользователя на локальном компьютере. По большому счету
она ничего другого не делает. Остальные опции, о которых шла речь выше, не ис
пользуются. Если пароль длиннее 14 символов, будет выдано сообщение о том, что
пароли такой длины могут вызвать проблемы в унаследованных системах Windows,
и предложено подтвердить свой выбор. Если в пароль необходимо добавить пробелы, его придется поместить в двойные кавычки, например:
net user SRED «Му dOg is yellow» /A9D
Чтобы полностью воссоздать то, что вы делали в окне Computer Management, до
бавьте к команде несколько опций:
net user SRed SkyisЫue2013 /fullname : «Steve Red»
/cornrnent : «Manager e>f the server team» /logonpasswordchg : yes /add
Далее приведены краткие описания всех опций.
• /fullname. Назначает учетной записи пользователя имя для будущих ссылок
на него.
• /comment. Заполняет поле Descriptioп (Описание) в окне свойств учетной запи
си пользователя.
• /logonpasswordchg:yes. Заставляет пользователя изменить свой пароль при
первом входе в систему сервера.
• Н иже перечислено несколько других опций, которые встречались в окне
Computer Management.
• /passwordchg. Устанавливается в yes или no дпя указания, может ли пользо
ватель изменять свой пароль.
• /expires. Устанавливается либо в какую-то дату (в формате мм/дд/гг [гг] ) ,
либо в NEVER.
• /active. Включает и.ли отключает учетную запись.
Чтобы получить дополнительную информацию о друтих опциях, введите команду
net help user. Не попадитесь в ловушку, введя вместо этого команду net user /?.
Там вы найдете мало сведений.
Создание доменных учетных записей пользователей
Давайте возвратимся к тому, по какой причине вы можете отдать предпочтение
доменным учетным записям пользователей перед локальными учетными записями.
Получается так, что пользователю Steve Red нужна возможность входа в системы
многих серверов в сети, а не только в данный автономный сервер. Этот пользова
тель собирается работать с множеством служб, и ему необходим механизм единого
входа. Администраторы также хотят настроить только одну учетную запись пользо
вателя и располагать возможностью выдать права лишь одной этой учетной записи.
Пользователь Steve Red желает иметь только одну учетную запись и один пароль.
Решение выглядит простым — создать доменную учетную запись пользователя.
Чтобы сделать это, войдите в систему контроллера домена (в рассматриваемом
примере это DCOl . Ьigfirm . com) и откройте инструмент Active Directory Users and
Computers (Пользователи и компьютеры Active Directory), который находится в папке Administrative Tools (Администрирование) на любом контроллере домена. С помошью бесплатно загружаемых инструментов дистанционного администрирования серверов (Remote Server Administration Tools) можно установить этот и другие инструменты управления серверами на компьютере Windows 8, чтобы проводить из негодистанционное управление.
РАЗДЕЛЕНИЕ АДМИНИСТРАТОРОВ
Одним из решений, которые администраторы Windows не спешат принимать, явля
ется концепция разделения ролей на офисных сотрудников и сетевых администрато
ров. Администраторы Unix делали это десятилетиями, просто применяя команду su.
Другими словами, они входили в сеть от имени рядовой учетной записи с нормаль
ными правами пользователя и поднимали привилегии до более высокой учетной записи, когда требовалось выполнять работы по администрированию. Зачем это может понадобиться? Все очень просто. Представьте, что вы блуждаете по Интернету или читаете свою электронную почту. В это время фрагмент вредоносного ПО ускользнул от защитных механизмов и выполнился. От имени кого он будет запущен? Все верно, от имени вашей учетной записи. Что остановит его от наведения беспорядка в
корпоративной сети, если вы вошли как администратор домена или от имени другой привилегированной учетной записи? Ровным счетом ничего! В Wmdows предлагается
определенная защита посредством системы контроля пользовательских учетных записей ( User Account Control — UAC), но эта защита не идеальна. Подобно физиqеской защите, иногда простейшие решения оказываются наилучшими.
Решение довольно-таки простое и не настолько устрашающее, как могут вообразить
себе многие администраторы Windows, когда слышат о нем. Сотрудники с админис
тративными правами должны иметь по две учетных записи. Первая учетная запись
будет предназначена для повседневной офисной работы, такой как использование
Microsoft Word, путешествия по Интернету или чтение электронной почты. Вторая
учетная запись предназначена для выполнения работ по администрированию.
Именно в этот момент люди начинают протестующе размахивать руками. Но дайте
нам закончить — очень скоро вы увидите, насколько все это просто в действии.
Предположим, что вы настраиваете такой сценарий для пользователя Steve Red. Его обычной ежедневной учетной записью является SRed, под которой он входит в систему на компьютере для выполнения работы, не связанной с администрированием. Вы
также настроили еще одну учетную запись, которая имеет права на упрамение частями Active Directory, определенными серверами и рабочими станциями в офисе.
Эта учетная запись называется SRed-Admin. Вы могли бы применить детализиро
ванную политику паролей, обеспечив более строгие требования для административ
ной учетной записи, но вы решили оставить всех с кодовыми фразами. Это вполне
безопасно.
Каким образом пользователю Steve Red переключаться между разными ролями
в течение дня? Вот как звучит распространенный аргумент против разделения ад
министраторов: «Я не хочу постоянно выходить и потом снова входить в систему».
Справиться с данной проблемой можно несколькими путями.
Вы располагаете возможностью использовать средство Run As (Запуск от имени) для запуска программ из-под других учетных записей пользователей. В Microsoft Wmdows Server и в клиентских ОС Wmdows программы можно запускать от имени пользователя, отличающегося от текущего, под которым был совершен вход в систему. Это средство известно под названием Rнn As. Вы должны выполнить следующие базовые шаги.
J . Отыщите программу, к-оторую нужно запустить.
2. Удерживая нажатой клавишу , щелкните правой кнопкой мыши на значке
программы и выберите в контекстном меню пункт Run as different user (Запуск от
имени другого пользователя).
3. Введите учетные данные пользователя, от имени которого хотите запустить программу.
Некоторые организации применяли такой прием и даже изменяли ярлыки для административных оснасток консоли ММС в палке Administrative Tools, чтобы делать это по умолч:анию. Операционные системы Wiпdows 8 и Wiпdows Server 2012 позволяют
быстро переключ:ать пользователей без необходимости в выходе из системы.
Существуют и другие подходы к обеспечению решения. Некоторые подходы в про
шлом использовали продукты виртуализации презентаций от Citrix для предоставле
ния среды администрирования. Теперь службы удаленного рабочего стола ( Remote
Desktop Services) в Wmdows Server 2008 R2/2012 моrут легко дублировать такой подход, публикуя либо рабочие столы, либо приложения для компьютеров пользователей. Или же можно было бы предложить вариацию решения виртуального административного ПК, запустив такой виртуальный ПК на клиенте Wiпdows 8 Client;
он уже располагает полнофункциональным продуктом Wiпdows Server Hyper-V 3.0.
Финальным реализуемым решением являются серверы управления. Это вьщеленные
серверы Windows, предназначенные специально для управления IТ-инфраструктурой.
Все необходимые инструменты устанавливаются и открываются для совместного использования любым администратором, которому необходимо управлять серверами.
Крупное преимущество этого подхода состоит в том, что на таких серверах управ
ления можно заблокировать подключ:ение к Интернету, а за счет определения соответствующих правил доступа в брандмауэре обеспечить, что только этим серверам управления разрешено управлять остальными серверами. Администратору придется только подключаться к этим серверам управления с применением протокола удаленного рабочего стола (Remote Desktop Protocol — RDP).
Теперь вы должны понимать необходимость в разделении двух жизненных аспектов администратора и убедиться, что не все решения трудны; на самом деле они могут благотворно влиять на экономию времени и усилий.
На рис. 8.4 показано окно Active Directory Users and Computers с контейнером
Users (Пользователи), содержащим несколько встроенных пользователей и групп,
которые являются важными для функционирования Active Directory.
Одни из них используются сейчас, а другие будут применяться, когда вы развер
нете другую функциональность в сети. Нередко в данный контейнер помещают создаваемые учетные записи пользователей. Это значит, что отделить ваши обычные
учетные записи пользователей от встроенных учетных записей становится труднее, равно как усложняется применение политик и делегирование прав администрирования. Мы бы хотели, чтобы в Microsoft решили использовать для этого контейнера
другое имя. Решение особой сложностью не отличается.
1. Создайте в корне домена еще одну организационную единицу (OU), обычно
имеющую имя домена или организации. В этом случае создается OU по имени
BigFirm под bigfirm. com.
2. Создайте архитектуру организационных единиц, чтобы соответствовать политике и административной иерархии организации внутри этого домена. Вы имеете организацию с единственным сайтом, поэтому выполните следующие шаги.
а. Создайте организационную единицу для пользователей (Users).
б. Создайте вторую организационную единицу для компьютеров (Computers).
в. Создайте третью организационную единицу для групп доступа (Securi ty
Groups).
Решение показано на рис. 8.5. Оно позволяет назначить права доступа объектам
каждого типа с детализированным контролем и трактовать их по-разному. Вы
создадите пользователей в OUBigFirmUsers внутри домена bigfirm. com.
3. Перейдите в организационную единицу, где вы хотите создать нового пользо
вателя.
4. Щелкните правой кнопкой мыши на имени организационной единицы и вы
берите в контекстном меню пункт NewqUser (СоздатьqПользователь), чтобы
создать пользователя. Запустится мастер создания нового объекта-пользовате
ля (New Object — User WIZard).
Как видите, все довольно просто.
Это приведет к автоматическому заполнению полного имени, которое при же
лании можно изменить.
6. Введите имя для входа, такое как SRed (рис. 8.6).
Возможно, это самое подходящее время для напоминания базовой термино
логии тем, кто не знаком с Active Directory и управлением учетными записями
пользователей. Каждый пользователь имеет имена двух типов, с помощью ко
торых он может получать доступ к ресурсам в сети.
Входное имя пользователя. Эrо имя, которое вы знаете лучше других, такое как SRed.
Основное имя пользователя (user principal name — UPN). Это имя пользователя,
которое выглядит похожим на адрес электронной почты. На рис. 8.6 видно,
что именем UPN для пользователя Steve Red является SRed@Ьigfirm. com.
Суффикс UPN ( @bigfirm . com) по умолчанию выводится из имени домена.
В нашем сценарии это bigfirm. com.
Обратите внимание, что суффиксы
UPN можно добавлять к лесу Active
Directory, следуя инструкциям, ко
торые доступны по ссылке http : / /
support .microsoft . com/kЬ/243629.
Входное имя пользователя, которое
было сохранено ради обратной сов
местимости, выглядит как SRed. Вы
также видите имя пользователя для
версий, предшествующих Windows 2000
Server — BigfirmSRed. Как ни стран
но, это имя пользователя для версий,
предшествующих Windows 2000 Server,
является в точности тем именем, кота-
7. Щелкните на кнопке Next (Далее) для
перехода на экран, показанный на
рис. 8.7. Опции на этом экране по
добны тем, которые доступны для
локальной учетной записи пользова
теля. Они были описаны ранее, когда
рассматривалось создание локаль
ной учетной записи пользователя.
Распространен ная ошибка здесь —
ввести пароль, который не удовлет
воряет определенным требованиям к
сложности.
Стандартные настройки определены
Рис. 8.8. Новый пользователь в Active Directory
Что собой представляет отличительное имя (distinguished name — DN)? Имя DN
описывает, где объект пользователя создается в Active Directory и как он именует
ся. В данном случае имя DN выглядит так: CN=Steve Red, OU=Users , OU=BigFirm,
DC=bigfinn, DC=corn. Рассмотрим его составные части.
• Общее имя (Common Name — CN). Это имя объекта. В этом случае оно пред
ставляет собой имя объекта пользователя.
• Организационная единица (Organization Unit — OU). Для определения пути
BigFinnUsers используется несколько таких частей. В имени DN путь ука
зывается в обратном порядке: CN=Steve Red, OU=Users, OU=BigFirrn.
• Компонент домена (Domain Component — DC). Описывает имя домена, например,
bigfirrn. corn. Обратите внимание, что оно не указывается в обратном порядке.
Чтобы получить дополнительную справочную информацию по созданию поль
зователей с помощью команды dsadd, введите dsadd user /?. Вероятно, вы ви
дели, что команда net user имеет опцию /dornain. Возможно, теперь вы думаете, что эта команда была проще, и интересуетесь, по какой причине она не применяется здесь. Дело в том, что команда net user не позволяет указать, где именно
в домене должен быть создан объект пользователя. Пользователя необходимо создать в
BigFinnUsers, и команда dsaddдaeт возможность сделать это. А теперь посмотрим,
что было создано, и каким образом упрамять учетными записями пользователей.
Установка свойств локальной учетной записи пользователя
Щелкните правой кнопкой мыши на учетной записи пользователя Steve Red, созданной на сервере-члене ServerOl, и выберите в контекстном меню пункт Properties (Свойства).Откроется диалоговое окно свойств, показанное на рис. 8.9. Это диалоговое окно должно выглядеть очень знакомым. Здесь присутствуют настройки, которые вы определили дляучетной записи пользователя при ее создании.
Недоступный флажок Accouпt is locked out (Учетная запись заблокирована) будет доступным и отмеченным, если пользователь окажется заблокированным. Учетная запись блокируется, если политика паролей определяет,
что это должно произойти после установленного количества неудавшихся попыток ввода
Рис. 8.9. Общие свойства локального
пользователя пароля в рамках заданного промежутка времени. По умолчанию это определено в Default Domain Policy. Обратите внимание, что флажком Account is locked out нельзя пользоваться до тех пор, пока учетная запись пользователя не станет заблокированной; диалоговое окно свойств не может применяться для блокировки пользователя.
В последующих разделах рассматриваются свойства объекта пользователя и разнооб
разные атрибуты локальной учетной записи пользователя.
вкладка Member Of
Вкладка Member Of (Членство в группах) используется для управления членством
в группах данной учетной записи пользователя (рис. 8. 10). М ы еще вернемся к этой
вкладке после того, как раскроем понятие групп далее в главе.
Вкладка Profile
Вкладка Profile (Профиль), представленная на рис. 8.1 1 , применяется для управ
ления несколькими настройками.
• Profile Path (Путь к профилю). Данная настройка указывает местоположение,
где находится профиль пользователя. Профиль — это структура папок, содер
жащая настройки, которые являются уникальными для данного пользователя.
Он также включает такие вещи, как папки Му Documents (Мои документы) и
Favori tes (Избранное) пользователя.
• Logon Script (Сценарий входа). Эта настройка позволяет определить сценарий,
который сохраняется на контроллерах домена и запускается каждый раз, ког
да пользователь входит в систему. Для локальной учетной записи пользователя
сценарий входа может храниться локально.
• Home Folder (Домашняя папка). Данная настройка позволяет определить сете
вой диск, который выделяется данному пользователю и отображается на ука
занную букву диска после входа пользователя в систему.
Рис. 8.1 1 . Настройки профиля локального пользователя
ПРОСТОЙ СПОСОБ ПОЛУЧЕНИЯ ИМЕНИ DN
Администраторы иногда могуr быть достаточно ленивыми, чтобы вручную вводить
имя DN организационной един ицы с клавиатуры. Ниже описан альтернативный
способ.
1 . Откройте окно Active Directory Users and Computers.
2. Отметьте в меню View (Вид) пункт Advanced Features (Дополнительные возмож
н о с т и) .
3. В оснастке станут видимыми многие дополнительные элементы.
4. Перейдите к организационной единице, имя DN которой нужно узнать, и открой
те окно ее свойств.
5. Щелкните на вкладке Attribute Editor (Редактор атрибутов) и прокрутите список
Attributes (Атрибуты) вниз до появления атрибута distinguishedNarne.
6.Дважды щелкните на distinguishedName и скопируйте имя DN для далънейщеrо
использования.
Совсем недавно упоминались профили. Все очень просто: администратор создает
для пользователя папку, в которую будут автоматически сохраняться персональные
данные и настройки пользователя, и открывает общий доступ к этой папке на файловом сервере. Она будет иметь такие разрешения безопасности, что получать к ней доступ могут только соответствующий пользователь (а также локальная система и локальные администраторы). Эrо позволит профилю пользователя храниться в данном месте после выхода пользователя из системы и загружаться, когда он входит в систему.
Примером такой папки может служить DCOl profilesSRed.
Ниже описаны составные части.
• DCOl — файловый сервер.
• profiles — открытая папка.
Все аутентифицированные пользователи могут производить чтение и запись
в этот открытый ресурс. Папка в файловой системе разрешает чтение своего
содержимого только пользователям, прошедшим аутентификацию. Локальные
администраторы, скорее всего, будут иметь полный доступ к этому открытому
ресурсу и папке. Вы можете сделать такой открытый ресурс невидимым при
просмотре сети, назначив ему имя Profiles$.
• SRed — папка, которая создана для хранения профиля пользователя по имени
Steve Red.
Разрешение безопасности Modify (Изменение) для этой папки позволяет чи
тать и записывать в нее только пользователю по имени Steve Red. Админист
раторы файлового сервера и системы будут иметь к ней полный доступ.
Рис. 8.12. Настройки средылокального пользователя
вкладка Environment
Вкладка Environment (Среда), показанная
на рис. 8. 1 2, управляет тем, как рабочая среда
конфигурируется, когда пользователь входит в систему сервера с применением терминальных служб Windows Server 2008 (Terminal Services)или служб удаленных рабочих столов Windows Server 2012 (Remote Desktop Services), например, за счет использования клиента подключения к удаленному рабочему столу (Remote Desktop Connection). Вы можете сконфигурировать определенную программу на запуск при каждом входе пользователя, отметив флажок Start the following program at logon (Запустить при входе следующую программу). При этом пона добится ввести команду для запуска программы и указать папку, которая будет для программы стартовой. Клиент Remote Desktop Connection позволяет пользователю выбрать отображение своих локальных дисков и принтеров, а также конфигурировать печатные задания для использования сервером стандартного принтера клиентского компьютера.
Администраторы могут дополнительно управлять этими опциями на данной вкладке.
REMOTE DESKTOP SERVICES ИЛИ TERMINAL SERVICES
Функциональность Terminal Services в Windows Server 2012 расширена с целью включения инфраструктуры виртуальных рабочих столов. В Microsoft провели ребрендинг
служб Terminal Services из Wmdows Server 2008 R2, которые получили название Remote
Desktop Services (RDS), сохранив их и в версии Wiпdows Server 201 2. Может возникнуть небольшая путаница, если вы читаете эту главу и все еще работаете в среде Wmdows Server 2008. Просто запомните, что когда мы ссылаемся на Remote Desktop Services, то обычно имеем в ВидУ также и Terminal Services в Wmdows Server 2008/2012.
вкладка Sessions
ВКJiадка Sessioпs представлена на рис. 8. 13.
С ее помощью также можно управлять тем, как службы Remote Desktop Services будут
функционировать для данного пользователя. Сеанс пользователя на сервере будет оставаться в отКJiюченном состоянии, если пользователь решил не выходить из системы. Это значит, что сеанс продолжит использовать ресурсы, а программы продолжат выполнение. Более важно то, что будут потребляться два свободно доступных параллельных сеанса, которые используются администраторами на серверах. Забывчивые администраторы могут быстро задействовать оба эти сеанса, что будет препятствовать нормальному входу на серверы другим администраторам посредством КJiиента Remote Desktop Connection. Следует отметить, что администраторы могутзавершать такие сеансы Вы можете решить поступать так в отношении учетных записей, применяемых для служб. Это означает, что даже если пароль учетной записи окажется скомпрометированным, она не может быть использована злоумышленником через Remote Desktop.
Вкладка Dial-in
Вкладка Dial-in (Дозвон), показанная на рис. 8.16, позволяет администратору управлять тем, может ли пользователь дистанционно подключаться к этому серверу и
каким образом, например, создавая туннель VPN или применяя модем для дозвона.
Как вы, вероятно, уже заметили вносить изменения в любое свойство внутри
этого диалогового окна очень легко, используя оснастку Active Directory Users and
Computers. Посредством команды net user можно управлять только некоторыми из
этих настроек. Давайте рассмотрим несколько из них. Следующая команда изменит
полное имя локальной учетной записи пользователя:
net user SRed /fullnarne : «Steve Red»
А эта команда установит путь к домашней папке:
net user SRed /hornedir: «D: HorneSRed»
До действительного запуска команды необходимо удостовериться в корректности
этого пути, поскольку сама команда его не проверяет. Понадобится также верифи
цировать разрешения для данного пользователя.
Показанная ниже команда конфигурирует настройку пути к профилю для поль
зователя:
net user SRed /profilepath : «D : ProfilesSRed»
Опять-таки, команда не осуществляет проверку на предмет ошибок, поэтому вы
должны сначала убедиться в правильности пути и разрешений.
SRed Properties
Рис. 8.15. Вкладка Remote Desktop
Установка свойств доменной учетной записи пользователя
Давайте посмотрим, чем отличается установка свойств доменной учетной записи
пользователя от недавно описанной установки свойств локальной учетной записи
пользователя.
! . Войдите в систему контроллера домена DCOl .Ьigfirm. com.
2. Найдите объект пользователя.
3. Щелкните правой кнопкой мыши на имени объекта пользователя и выберите
в контекстном меню пункт Properties (Свойства).
Обратите внимание, что вы должны отметить пункт Advanced Features (Допол
нительные возможности) в меню View (Вид) оснастки Active Directory Users
and Computers (ADUC). Диалоговое окно свойств пользователя показано на
рис. 8. 17.
4. Снимите отметку с пункта Advanced Features в меню View оснастки ADUC и
ознакомьтесь со сравнительными характеристиками, приведенными в после
дующих разделах.
Вы заметите, что расширенное представление предлагает намного больше воз
можностей. Здесь следует упомянуть два момента.
• В диалоговом окне свойств для доменной учетной записи пользователя имеется намного больше вкладок с множеством настроек, чем в аналогичном окне
для локальной учетной записи пользователя.
Доменная учетная запись предоставляет администраторам намного больший
контроль над пользователями. Она также позволяет сохранять для каждой
учетной записи пользователя дополнительную информацию, которая может
применяться пользователями или приложениями.
• Локальные и доменные учетные записи пользователей разделяют между собой
множество общих настроек.
Мы не собираемся здесь повторять описание этих настроек, а предполагаем, что
вы читали предшествующие разделы, посвященные локальным учетным записям
пользователей.
Давайте начнем с рассмотрения вкладки General (Общие).
Вкладка Genera/
На рис. 8.17 вы видели описательную информацию для пользователя — обычные
имя и фамилию. У вас также имеется возможность хранить в объекте пользователя
внутри Active Directory и другие сведения о пользователе, такие как офис, где он
работает, телефонный номер, адрес электронной почты и адрес веб-страницы. Вы
обнаружите, что можете использовать настройки адреса электронной почты или
веб-страниuы для данного пользователя, щелкнув правой кнопкой мыши на объекте
пользователя n оснастке Active Directory Users and Computers. Это дает возможность
открыть nеб-страницу полыователя или отправить сообщение по его адресу электронной почты.
Рис. 8.17. Свойства учетной записи
пользователя Active Directory
Вкладка Address
Рис. 8.18. Вкладка Address для
пользователя Active Directory
Вкладка Address (Адрес) представлена на рис. 8.1 8. Она позволяет определить
почтовый адрес для заданного пользователя. Зачем это может понадобиться? Среда
Active Directory может применяться в качестве каталога для пользователей; другими
словами, пользователи могут ее использовать для выяснения информации о других
пользователях в сети или же она может применяться приложениями для сохранения, извлечения и распространения информации среди пользователей.
вкладка Account
На вкладке Account (Учетная запись), показанной на рис. 8.19, можно видеть входное имя пользователя, имя UPN, а также входное имя пользователя для версий, предшествующих Windows 2000 Server, которые были установлены во время создания пользователя. На данной вкладке все эти имена можно изменить.
Щелчок на кнопке Logon Hours (Часы вхо да) приводит к открытию диалогового окна
Logon Hours (Часы входа), представленного на рис. 8.20. Оно позволяет управлять тем, когда пользователь может входить в сеть для досту
па к ресурсам. Это может понадобиться при наличии исключительно строгих требований к
безопасности. Данная настройка конфигурируется не особенно часто.
Рис. 8.21 . Диалоговое окно Logoп Work
statioпs для пользователя Active Directory
На вкладке Accouпt имеется также кнопка Log Оп То (Входить в), щелчок на ко
торой приводит к открытию диалогового окна Logoп Workstatioпs (Рабочие станции
для входа), показанного на рис. 8.21 .
Диалоговое окно Logoп Workstatioпs позволяет управлять тем, какие компьютеры
данный пользователь может применять для входа в Active Directory. Это может быть
необходимым в нескольких случаях.
• Нужен контроль над тем, где некоторые или даже все пользователи соверша
ют вход в систему. Это определенно нестандартный вариант конфигурации, но
уровень безопасности, принятый в определенных организациях, может того
требовать.
• К вам приходит консультант или технический специалист, и вы хотите ограни
чить круг компьютеров, на которых он должен работать.
• Вы создаете учетную запись для приложения или службы и хотите, чтобы она
использовалась только на определенных серверах. Это ограничит ущерб (хотя
и временно), который может быть нанесен в случае компрометации данной
учетной записи.
Настройки, доступные посредством кнопок Log Оп То и Logoп Hours на вкладке
Accouпt, моrут применяться вместе для исполнения ограничений входа в систему,
принятых в отношении доменной учетной записи пользователя.
Вернемся снова к рис. 8.19. Обратили ли вы внимание на множество других оп
ций для управления учетной записью? Чтобы увидеть их, придется прокрутить вниз список Accouпt optioпs (Параметры учетной записи), находящийся в середине вкладки Accouпt диалогового окна.
• User Must Change Password at Next Logon (Пользователь должен изменить
пароль при следующем входе). Применяется для того, чтобы заставить поль
зователя изменить свой пароль после того, как администратор установит или
сбросит его. Это значит, что администратор не должен знать, что пользователь
выбрал в качестве пароля.
• User Cannot Change Password (Пользователь не может изменять пароль).
Используется для учетных записей служб, чтобы гарантировать неизменность
пароля.
• Password Never Expires (Срок действия пароля никогда не истекает).
Переопределяет любые политики устаревания паролей, которые могут быть
сконфигурированы в Active Directory. В идеале применяется для учетных запи
сей служб, а не рядовых пользователей.
• Store Password Using ReversiЫe Encryption (Сохранять пароли с использо
ванием обратимого шифрования). Никогда не отмечайте данный флажок, если
только не имеете стопроцентную уверенность в том, что данное действие не
обходимо. Это требуется, когда приложению нужно знать пароль пользователя
в целях аутентификации. В Microsoft говорят, что это в точности то же самое,
что и хранение пароля в виде простого текста.
• Account ls DisaЬled (Учетная запись отключена). Администратор может от
ключить учетную запись пользователя, чтобы устранить возможность аутенти
фикации или авторизации с ее помощью.
• Smart Card ls Required for lnteractive Logon (Для интерактивного входа
требуется смарт-карта). Среду Active Directory можно сконфигурировать так,
чтобы пользователям было разрешено входит в сеть только при наличии у
них смарт-карт. Такой подход называется двухфакторной аутентификацией.
Другими словами, пользователь применяет для входа то, чем он располагает
(уникальный маркер), и то, что ему известно (секретный РIN-код). Этот под
ход считается намного лучшим решением аутентификации, чем пароли и ко
довые фразы, по следующим причинам.
• Маркером затруднительно поделиться или похитить.
Смарт-карта является уникальной, и ее владельцу сразу станет известным
факт ее похишения, а в случае передачи ее кому-то другому владелец сам не
сможет войти в сеть.
• Используется простой для запоминания РIN-код. Кроме того, применяются
механизмы очень строгого шифрования.
Это означает, что пользователь не имеет дела с часто изменяемыми пароля
ми, которые являются распространенной причиной для беспокойств из-за
того, что сложные пароли нередко забываются.
Потребность в усиленной безопасности может побудить администраторов к
внедрению смарт-карт для некоторых или даже для всех пользователей. От
метка флажка Smart Card ls Required for lnteractive Logon вынудит пользователей
входить в сеть с применением выданных им смарт-карт и запретит вход с пре
доставлением традиционных имени пользователя и пароля.
• Account ls Sensltive and Cannot Ве Delegated (Учетная запись является важной
и не может быть делегирована). С помощью этого флажка указывается, может
ли служба заимствовать права у пользователя. Это делается для того, чтобы
разрешить службе выступать в качестве пользователя. Возможно, вы столк
нетесь с таким поведением на среднем уровне в многоуровневой архитектуре,
такой как часть веб-клиента, сервер приложений среднего уровня и сервер баз данных. По умолчанию этот флажок не отмечен, что разрешает заимствование
прав данной учетной записи.
• Use Kerberos DES Encryption Types for This Account (Использовать для этой
учетной записи типы шифрования Kerberos DES). Некоторые приложения могут
требовать учетной записи службы, которая использует алгоритм шифрования
DES. Для таких учетных записей служб необходимо отметить этот флажок.
После изменения этой настройки может понадобиться сбросить пароль.
• This Account Supports AES 128-Bit Encryption (Эта учеmая запись поддержива
ет 128-битное шифрование AES). Некоторые приложения могут требовать учет
ной записи службы, которая использует алгоритм 128-битноr·о шифрования
AES. Для таких учетных записей служб необходимо отметить этот флажок.
+ Thls Account Supports AES 256-Bit Encryption (Эта учетная запись поддержива
ет 256-битное шифрование AES). См. описание предьщущего флажка.
• Do Not Require Kerberos Preauthentlcation (Не требовать предварительной
аутентификации Kerberos). Этот флажок предназначен для предоставления
пользователям возможности входить в сеть, коrда в ней содержится смесь
разных областей Kerberos, таких как Active Directory и центры распределения
ключей Unix (key distribution center — КОС).
Обратили внимание, что в списке не предусмотрено недоступного флажка, кото
рый бы указывал на заблокированное состояние учетной записи? Это делает совершенно очевидным тот факт, что применять данное диалоговое окно мя блокировки пользователя нельзя. Разблокировать пользователя можно с помощью флажка Unlock
account (Разблокировать учетную запись), расположенного выше списка Account options на вкладке Account.
Последние элементы управления на этой вкладке предназначены ми управления
автоматическим истечением срока действия учетной записи. Вы можете определить дату, по прошествии которой учетная запись больше не будет использоваться. Это
удобно при создании учетной записи пользователя мя приходящих инженеров/консультантов или мя временного/контрактного персонала. Поскольку вам известно,
сколько времени они будут находиться в офисе, вы можете заранее сконфиrуриро
вать учетную запись так, чтобы срок ее действия истекм, и войти с ее помощью
стало невозможно. Это изящно защищает сеть от злоупотреблений с учетными за
писями пользователей.
вкладка Profile
Назначение вкладки Profile (Профиль), представленной на рис. 8.22, обсуждалось
при рассмотрении локальных учетных записей пользователей.
вкладка Telephones
Вкладка Telephones (Телефоны) должна быть очевидной (рис. 8.23). Здесь указы
ваются телефонные номера мя связи с пользователем.
вкладка Organization
Вкладка Organization (Организация) является еще одной информационной DКЛад
кой (рис. 8.24). Мы несколько раз упоминали, что приложения могут использовать
информацию такого рода.
Рис. 8.22. Вкладка Profile для пользо
вателя Active Directory
Рис. 8.23. Вкладка Telephoпes для пользователя Active Directory
Например, настройки на этой ВЮiадке могли бы применяться реализацией служб
Windows SharePoint (SharePoint Services — WSS). Данная информация отображается
в веб-интерфейсе, когда пользователи ищут дополнительные сведения о владельце
определенной документации или о сайте внутри реализации WSS. Службы WSS загружают эту информацию из объекта пользователя, сконфигурированного в Active
Directory. Скажем, если вы просматриваете сведения о пользователе Steve Red на
сервере WSS, то свойства учетной записи SRed будут читаться службой WSS из ActiveDirectory.
Эта ВЮiадка позволяет описать роль пользователя внутри организации — это не
более чем сведения о кадрах, не имеющие отношения к делегированию или адми
нистрированию Active Directory. Можно также указать руководителя, перейдя к дру
гой учетной записи пользователя в Active Directory.
Вкладка СОМ+
На ВЮiадке СОМ+ вы углубляетесь в область программирования приложений
(рис. 8.25). Раздел (partition) — это конфигурация приложения. Приложение может
иметь множество конфигураций. Это значит, что вы можете иметь несколько разде
лов СОМ+ внутри Active Directory. Дополнительные сведения о разделах приложе
ний приведены в документации MSDN.
Набор разделов может содержать множество разделов. Пользователей мож
но привязывать к наборам разделов и, в свою очередь, к содержащимся разделам.
Привязывать можно не только какого-то одного пользователя; можно привязать
всех пользователей в организационной единице за счет привязки этой OU к набо
ру разделов. Создание набора разделов внутри Active Directory описано в MSDN по
ссылке http : //tinyurl . com/2naoft.
Рис. 8.25. Вкладка СОМ+ для поль
зователя Active Directory
Вы уже сталкивались с вкладкой Attribute Editor (Редактор атрибутов), когда име
ли дело со свойствами организационной единицы (рис. 8.26). При желании на ней
можно просматривать или напрямую редактировать свойства объекта, представляю
щего пользователя.
Вкладка PuЫished Certificates
Вкладка PuЫished Certificates (Опубликованн ые сертификаты) показана на
рис. 8.27. Сертификаты предоставляют механизм защиты, основанный на шифрова
нии, который применяется для подтверждения идентичности.
Здесь можно просматривать сертификаты, которые были автоматически назначены
пользователю через Active Directory с использованием служб сертификатов (Certificate
Services). У вас есть возможность вручную назначить пользователю сертификат из
собственного локального хранилища сертификатов либо из файловой системы.
Вкладка Member Of
Вкладка Member Of (Членство в группах) позволяет управлять членством в груп
пах данной учетной записи пользователя (рис. 8.28). Мы вернемся к ней позже в
этой главе, когда будем рассматривать группы и членство в группах.
Как видите, можно также управлять основной группой пользователя. Это требу
ется только в приложениях POSIX (PortaЫe Operating System lnterface for Computer
Environment — интерфейс переносимой операционной системы) или на клиентских
компьютерах Macintosh. Когда один из таких клиентов создает файл или папку на
сервере Windows, этому новому объекту назначается основная группа. Эта группа
должна находиться в собственном домене пользователя и быть либо глобальной,
либо универсальной группой доступа.
Рис. 8.26. Вкладка Attribute Editor
для пользователя Active Directory
вкладка Password Replication
Steve Red Properties
Рис. 8.27. Вкладка PuЫished Certificates
для пользователя Active Directory
Вкладка Password Replicatioп (Репликация паролей) позволяет просматривать, на
какие контроллеры домена только для чтения (read-only domain controller — RODC)
был реплицирован пароль данного пользователя (рис. 8.29). Опция RODC была до
бавлена в архитектуру Active Directory в версии Windows Server 2008. Контроллер
домена RODC можно добавлять в офис филиала, где не может быть обеспечена
физическая защита, достаточная для размещения обычного контроллера домена.
В случае похищения или компрометации RODC вы можете изолировать учетные за
писи пользователей, детали которых хранились на этом RODC.
Вкладка Object
Вкладка Object (Объект), представленная на рис. 8.30, должна быть очень полез
на при поиске и устранении неполадок. На ней можно видеть важную информацию,
такую как:
• когда объект был создан;
• когда объект последний раз изменялся;
• информация USN (update sequence number — порядковый номер обновления),
которая применяется для управления репликацией Active Directory.
Удобной новой опцией на этой вкладке является возможность защиты учетной
записи пользователя от случайного удаления, для чего необходимо отметить флажок
Protect object from accideпtal deletioп (Защитить объект пользователя от случайного
удаления). Это позволяет гарантировать, что никто не сможет неумышленно уда
лить учетную запись для критически важной службы.
Рис. 8.28. Вкладка Member Of для
пользователя Active Directory
Вкладка Security
Рис. 8.32. Дополнительные пользователи Active Directory
Предположим, что вы хотите изменить настройки для всех пользователей в этой
организационной единице. Выделите все учетные записи пользователей, щелкните
правой кнопкой мыши и выберите в контекстном меню пункт Properties (Свойства).
Откроется диалоговое окно свойств, представленное на рис. 8.33. Для несколь
ких пользователей в действительности мало смысла предоставлять абсолютно все
настройки, поэтому вы увидите только подмножество опций.
Чтобы модифицировать настройку, отметьте связанный с ней флажок. Это сде
лает доступным поле редактирования. Теперь эту настройку можно отредактировать
для всех ранее выделенных пользователей (рис. 8.34).
Управление доменными учетными записями пользователей с помощью оснастки
Active Directory Users and Computers выполняется очень легко. А теперь посмотрим,
как поступить, когда единственным вариантом является командная строка.
Рис. 8.ЗЗ. Свойства нескольких объектов
пользователей Active Directory
Рис. 8.34. Изменение атрибутов множества объектов Active Directory
Управление доменными учетными записями пользователей в командной строке
Давайте посмотрим, как решать те же задачи в командной строке. Будет исполь
зоваться команда dsmod с опцией user. Получить справку по этой команде можно
следующим образом:
dsrnod user /?
Обратите внимание, что для модификации настроек пользователя должно быть
указано его имя DN. Вспомните данный ранее в главе совет по получению тако
го имени из свойства distinguishedName объекта учетной записи пользователя на
вкладке Attribute Editor (см. врезку «Простой способ получения имени DN»). Это
можно сделать, когда доступен графический пользовательский интерфейс. Но что,
если это не так? В случае, когда известно имя UPN пользователя, для получения
имени DN можно ввести команду dsquery:
dsquery user -upn SRed@bigfirrn. com
«CN=Steve Red, OU=Users, OU=BigFirrn, DC=bigfirrn, DC=corn»
В качестве альтернативы команду dsquery можно запустить с применением име
ни учетной записи SAM, которое представляет собой дружественное имя, известное
как SRed:
C : UsersAdrninistrator>dsquery user -sarnid SRed
«CN=Steve Red, OU=Users, OU=BigFirrn, DC=bigfirrn, DC=corn»
dsquery — это действительно мощная команда, поэтому ее полезно изучить,
введя dsquery /?.
Теперь можно продолжить, выполнив команду dsmod. Вот как сконфигурировать
домашнюю папку и отобразить ее на букву диска для пользователя Steve Red:
dsrnod user «CN=Steve Red, OU=Users, OU=BigFirrn, DC=Ьigfirrn, DC=corn»
-hrndir \DC01horne$SRed -hrndrv Р
Команда настроит домашнюю папку (специальную сетевую открытую папку,
специфичную для этого пользователя) с буквой диска Р, которая отображается на
DCOl home$SRed всякий раз, когда пользователь Steve Red входит в сеть.
Далее необходимо сконфигурировать руководителя для пользователя Steve Red.
Вы только что узнали, что пользователь по имени Marcel Zehner повышен до на
чальника отдела. Введите следующую команду:
dsmod user «CN=Steve Red, OU=Users , OU=BigFirm, DC=bigfirm, DC=com»
-mgr «CN= Marcel Zehner , OU=Users, OU=BigFi rm, DC=Ьigfirm, DC=com»
Обратите внимание, что вы не вводили для руководителя что-то похожее на
Ьigfirmmzehner или mzehner. В действительности вы использовали имя DN учет
ной записи пользователя, ямяющегося руководителем.
На первых порах команда dsmod выглядит сложной в применении. Поработайте
с ней некоторое время, и вы увидите, что на самом деле не все так плохо.
ПЕРЕИМЕНОВ.АНИЕ И УДАЛЕНИЕ ОБЪЕКТОВ
Как вы наверняка догадались, решение о переименовании или удалении чего-либо должно приниматься взвешенно. Такие действия имеют весьма серьезные последствия.
Переименование объектов
Каждый объект в Windows имеет имя. Это имя используется для входа в систему,
внутри сценариев, в конфигурации приложений и т.д. Например, если вы создали
учетную запись SCorso, то пользователь по имени Simona Corso будет применять
ее ддя входа. Это имя не отслеживается в Windows, поскольку оно может измениться,
к примеру, на Simona Red, что повлечет за собой изменение имени пользователя на
SiRed. ОС Windows не должна искать в сети все ресурсы, где использовалась учетная
запись SCorso, чтобы изменить в них ссьmку на SiRed: членство в группах, права
доступа к файлам, связи с почтовыми ящиками и тому подобное.
Понятие идентификатора безопасности
Людям проще запоминать и вводить дружественные имена, но Windows назначает каждому объекту специальный код, который называется идентификатором безопасности (security identifier — SID) и представляет собой глобально уникальный идентификатор в пределах Active Directory. Все объекты пользователей и компьютеров
обладают идентификатором SID. Каждая группа также имеет SI D.
Что произойдет, когда вы переименовываете пользователя или группу, являющуюся
участник.ом безопасности (security principal)? Конечно, известное вам имя изменяется. В случае Simona Red необходимо помнить имя пользователя. Однако Windows отслеживает объекты пользователей только по идентификаторам SID. Любые разрешения на доступ к ресурсам, назначенные объекту пользователя, и его членство в группах не изменятся, т.к. идентификатор SID остался прежним. Обратите внимание, что приложения от независимых поставщиков, работающие с именами объектов, а не с идентификаторами SID, потребуют корректировки ссылок на имена
объектов, но приложения, тесно интегрированные с Active Directory, такие как SQL,
SbarePoint или Excbange, продолжат нормально функuионировать.
Здесь важно запомнить, что после изменения имени объекта Active Directory, представляющего пользователя или группу, Wmdows по-прежнему трактует его как тот же самый объект. Разрешения, выданные этому объекту, его атрибуты, членство в группах и прочие аспекты не меняются.
Удаление объекта
Другой сценарий, который вы должны обдумать, связан с удалением объекта. При
назначении разрешений учетной записи SiRed в Windows поддерживается список
разрешений, ассоциированный с идентификатором SID этого пользователя. То же
самое происходит и в случае группы пользователей — разрешения будут ассоциированы с SID объекта группы, а не с его именем.
Восстановление удаленного объекта
При удалении объекта пользователя или группы следует проявлять крайнюю осторожность. Если вы случайно удалили его и хотите восстановить в прежнем состоя
нии, то не сможете сделать это, просто создав новый объект с тем же самым именем.
Вспомните, что идентификатор SID является глобально уникальным, и он не привязан к имени объекта. Созданный в качестве замены объект пользователя SiRed будет иметь другой SID. Открытый файловый ресурс или почтовый ящик, к которому учетная запись SiRed получала доступ, не распознает новый объект пользователя из-за того, что его идентификатор SID отличается по сравнению со старым объектом.
Единственный способ восстановления доступа к удаленному объекту пользователя
или группы предусматривает его восстановление из резервной копии.
Существует несколько способов сделать это, которые обсуждаются по ссылке
http : / /tinyurl . com/2wgo4g. В версии Windows Server 201 2 появилось средство
под названием корзина Active Directory (Active Directory Recycle Bin), упрощающее
процесс восстановления недавно удаленных объектов.
Важно помнить, что Wmdows идентифицирует объект не по имени, а по SID. В ре
зультате повторного создания копии объекта с тем же самым именем будет получен
другой объект.
Передовой опыт
По изложенным причинам мы настоятельно рекомендуем отключать пользователей,
когда поступает запрос на их удаление от руководства или отдела кадров. Это за
блокирует их доступ в сеть. Вдобавок мы рекомендуем создать отдельную организа
ционную единицу для учетных записей, которые были отключены, и перемещать в
нее отключаемых пользователей. Поступая подобным образом, Bf:>l сможете получить
немедленный обзор всех неиспользуемых учетных записей. Всегда есть шанс, что
случилось недопонимание или человек возвратился к работе. Восстановить доступ
легко: просто включите его учетную запись. По истечении согласованного периода
хранения в 30 или 60 дней объект может быть удален.
Для поиска неактивных и отключенных учетных записей в домене Active Directory
можно применять следующую команду:
dsquery user -inactive -disaЫed
Например, эта команда найдет пользователей, которые отключены или были не
активными в течение восьми недель:
dsquery user -inactive В -disaЫed
Чтобы удалить одного или нескольких пользователей, их необходимо выде
лить, щелкнуть правой кнопкой мыши и выбрать в контекстном меню пункт Delete
(Удалить). Удаление пользователя в командной строке также выполняется несложно
с помощью следующей команды:
net user /delete
Вот команда для удаления локальной учетной записи пользователя SRed:
net user SRed /delete
Дпя удаления учетной записи пользователя Active Directory должна использовать
ся команда dsrm с указанием имени DN объекта пользователя:
dsrm «CN=Steve Red, OU=Users, OU=BigFi rm, DC=Ьigfirm, DC=com»
Будет выдан запрос на подтверждение удаления. Иногда требуется отключить
оыдачу такого запроса, например, внутри сценария. Это делается так:
dsrm «CN=Steve Red, OU=Users , OU=BigFirm, DC=Ьigfirm, CC=com» -noprompt
Управление группами
Трактовка коллекции пользователей как единой сущности для какой-то одной
или нескольких целей упрощает решение множества задач администрирования.
Например, вместо выполнения 100 операций по назначению каждому и:з 10 поль
зователей разрешений на доступ к 1 О ресурсам можно поместить пользователей в
группы ( 1 операция) и назначить этой группе разрешения на доступ к ресурсам
( 1 1 операций). Приведенные подсчеты делают вполне понятной необходимость в
применении групп. Вместо того чтобы иметь дело с индивидуумами, вы взаимо
действуете с коллективом, т.е. группой.
В сущности, при назначении разрешений рекомендуется всегда использовать
группы. По этой причине вы должны научиться создавать группы, изменять членс
тво, а также удалять их. Вы узнаете, как создавать, управлять и удалять локаль
ные группы и группы домена с применением оснастки Active Directory Users and
Computers, а также командной строки.
локальные группы
Подобно локальному пользователю, локальная группа существует внутри сер
вера-члена или автономного компьютера, будь то сервер, ноутбук или настольный
компьютер. Она содержит локальные учетные записи пользователей, существую
щие на сервере. Эта группа также может содержать пользователей или группы Active
Directory, членами которых является сервер. Управлять группами можно с использо
ванием тех же самых инструментов с графическим интерфейсом, что и при управле
нии локальными пользователями.
На рис. 8.35 показано, где производится управление локальными группами на
сервере. Как видите, по умолчанию таких групп имеется немало. При добавлении
определенных ролей будут добавляться дополнительные группы.
создание группы
В этом разделе мы создадим новую группу под названием Fileshare. Данную
группу можно применять для назначения ее членам разрешений на доступ к общему
файловому ресурсу, расположенному на этом сервере.
1 . Выберите в меню Action (Действие) пункт New Group (Создать группу) или
щелкните правой кнопкой мыши в центральной панели и выберите в контекс
тном меню пункт New Group.
Откроется диалоговое окно New Group (Новая группа).
Рис. 8.37. Выбор членов группы
4. В группу могут быть добавлены следующие члены:
• пользователи Active Directory или локальные пользователи;
• учетные записи компьютеров из Active Directory;
• группы Active Directory.
Варианты, основанные на Active Directory, будут доступны, только если дан
ный север является членом домена. Сервер, на котором выполняется работа,
SERVEROl, является членом bigfirт. сот.
В текущий момент настройка Select this object type (Выбирать этот тип объек
тов) позволяет добавлять в группу пользователей, группы или учетные записи
служб. Это можно изменить, щелкнув на кнопке Object Types (Типы объектов).
Как показано на рис. 8.38, можно отмечать или снимать отметку с флажков
Computers (Компьютеры), Groups (Группы), Users (Пользователи) и Service
Accouпts (Учетные записи служб). Что понимается под учетными записями
служб? В Windows Server 2012 теперь также есть возможность выбора учетных
записей управляемых служб (Managed Service Accounts — MSA). В зависимос
ти от отмеченных флажков вы изменяете то, что можно добавлять или удалять
из группы во время редактирования членства.
Возвратившись обратно в диалоговое окно Select Users, Computers, Service
Accouпts, ог Groups, вы увидите, что настройка From this locatioп (Из этого мес
тоположения) установлена в домен, членом которого сервер является. Это де
лается по умолчанию мя компьютера-члена домена. Местоположение опреде
ляет, откуда можно выбирать объекты мя помещения в группу. На автоном
ном сервере местоположением может быть только он сам. В данном примере
можно выбирать пользователи или компьютеры из домена Ьigfirm. сот.
5. Это необходимо изменить, чтобы выбрать локальную учетную запись пользо
вателя. Щелкните на кнопке Locations (Местоположения).
Обратите внимание, что в открывшемся диалоговом окне Locations (Местопо
ложения) можно также выбрать другой доверенный домен. Можно даже пе
рейти внутри домена к конкретной организационной единице, чтобы сузить
область поиска доменного пользователя или компьютера.
На рис. 8.39 узел домена раскрыт, чтобы продемонстрировать возможность
прохода по организационным единицам. Тем не менее, нас интересует локаль
ная учетная запись пользователя.
ObJect Types
Рис. а.за. Возможные типы объектов для
членов группы
locatio1S
Рис. а.39. Выбор местоположения источника
объектов
6. Выберите имя локального сервера,
В качестве альтернативы вы могли бы выбрать домен, чтобы добавить
группу или пользователя из домена Active Directory в свою локальную группу. Если вам точно известно
имя пользователя добавляемой локальной учетной записи, то простовведите его.
Рис. 8.40. Добавление пользователя
в локальную группу
ните на кнопке Check Names (Проверить имена). Производится поиск в базе
данных локальных учетных записей и в диалоговом окне Select Users (Выбор
пользователей) выводится подтверждение того, что пользователем SRed в дейс
твительности является SERVEROl SRed (рис. 8.40). Если же вы уверены в пра
вильности имени, можете просто ввести его и щелкнуть на кнопке ОК.
8. Если точное имя не известно, щелкните на кнопке Advanced (Дополни
тельно), чтобы открыть диалоговое окно, показанное на рис. 8.41.
Многие опции поиска здесь недоступны, т.к. вы указали для местоположения
локальный компьютер. Эти опции работают, только когда в качестве местопо
ложения установлен домен.
9. Щелкните на кнопке Find N o w (Найти сейчас), чтобы вывести список доступ
ных учетных записей, которые можно добавить в группу, на основе определен
ного ранее критерия.
На рис. 8.42 приведены результаты поиска. Здесь вы можете выбрать объект
или объекты для добавления в группу.
Рис. 8.41 . Расширенное представление
членства в группе
Рис. 8.42. Выбор пользователя для добавления
в группу внутри расширенного представления
1 О. Выберите объект SRed и щелкните на кнопке ОК.
Выбранные объекты отображаются в диалоговом окне Select Users, как пока
зано на рис. 8.43.
1 1 . Щелкните на кнопке ОК, чтобы сохранить это членство. На рис. 8.44 видно,
что группа готова к созданию со своим начальным членством.
12. Завершите процесс, щелкнув на кнопке Create (Создать).
Рис. 8.43. Проверенный потенциальный член
группы
Рис. 8.44. Отображение потенциаль
ных новых членов
На рис. 8.45 можно заметить, что новая группа была создана, и в нее был добав
лен пользователь Steve Red.
Рис. 8.45. Созданная новая группа
Вход с новым ЧЛЕНСТВОМ в ГРУППАХ
Есть одно важное замечание, которое nрименимо к работе как с группами Active
Directory, так и с локальными группами. Пользователь может использовать свое
членство в группах, только когда он выполняет вход после изменения qленства.
Пользователь Steve Red не может работать со своим новым qленством в группе,
т.к. в текущий момент он находится в системе. Вы должны уведомить его о необходимости выйти и снова войти.
Создание группы в командной строке
Группу можно создать в командной строке с помощью команды net localgroup.
Для получения справки введите:
net help localgroup
Для создания группы запустите следующую команду:
net localgroup Fileshare /add
/coпunent : «MernЬers assigned permission to the fileshare on this server»
Ниже приведен синтаксис этой команды:
net localgroup /add /coпunent : «»
Обратите внимание, что вы не можете добавить пользователя в группу во время
ее создания в командной строке.
Добавление пользователя в группу
Давайте добавим в группу новый член. Это можно сделать через оснастку консо
ли ммс.
1. Откройте диалоговое окно свойств группы, представленное на рис. 8.46.
Здесь вы можете видеть существующие члены в группе.
F1feshare Properties
1 МепЬеr af ths group have ассе зз to the fieshcre
Рис. 8.46. Диалоговое окно свойств группы
2. Щелкните на кнопке Add (Добавить), чтобы добавить новый член в группу.
Как и ранее, вы можете установить критерий для объектов, добавляемых в груп —
пу, и указать их источник. Вы собираетесь добавить группу домена в локальную
группу. Вы хотите, чтобы все пользователи, находящиеся в домене, были в со
ставе локальной группы. Вам известно, что для этого предназначена встроенная
группа домена под названием Domain Users (Пользователи домена).
3. Введите имя этой группы и щелкните на кнопке Check Names (Проверить
имена).
На рис. 8.47 видно, что встроенная группа домена Domain Users будет добав
лена в локальную группу.
Рис. 8.47. Добавление группы домена в локальную группу
УДОБНЫЙ ПРИЕМ: ДОБАВЛЕНИЕ ГРУППЫ ДОМЕНА В ЛОКАЛЬНУЮ ГРУППУ
Сценарий добавления группы домена в локальную группу является довольно мощным. Он позволяет администратору повторно использовать коллекцию объектов Active Directory в форме группы Active Diгectory и предоставляет им права доступа к ресурсу на этом сервере. Это может понадобиться в ситуации, когда владелец приложения выдал права локального администрирования единственному серверу и ничему больше. Тогда администраторы могут создать локальные группы и наполнить их группами и пользователями домена. Администратор приложения может открыть общий доступ к своему приложению членам домена, без необходимости в наличии каких-либо прав администрирования домена.
4. Вы также заметите, что группа BIGFIRМDomain Users присоединит пользова
теля SRed в качестве члена. Щелкните на кнопке ОК (рис. 8.48).
Самое время взглянуть на добавление членов в группу с применением команд
ной строки. Для этого снова будет использоваться команда net localgroup:
net localgroup Fileshare SRed /add
Приведенная команда добавляет пользователя в группу. Синтаксис команды до
вольно прост:
net localgroup Fileshare /add
Следующая команда добавляет группу Domain Users из домена BigFirm в новую
локальную группу:
Рис. 8.48. Потенциальное новое членство в группе
Рис. 8.49. Членство пользователя в группах
Помните вкладку Member Of (Членство в группах) в диалоговом окне свойств
локальной учетной записи пользователя? А теперь посмотрим на диалоговое окно свойств учетной записи пользователя SRed, показанное на рис. 8.49.
Как видите, членство пользователя в группах было обновлено. Здесь вы можете
так же легко добавить пользователя Steve Red в группу. Вас попросили добавить
пользователя Steve Red в локальную груnпу Administrators. Это сделает его ад
министратором этого и только этого сервера.
1. Щелкните на кнопке Add (Добавить), в результате чего откроется диалоговое
окно, представленное на рис. 8.50.
2. Введите имя группы, в которую хотите добавить этого пользователя, и затем
щелкните на кнопке Check Names (Проверить имена), чтобы удостовериться в
корректности имени груnпы.
Обратите внимание, что локальные учетные записи пользователей можно до
бавлять только в локальные группы, но не в группы домена.
Список членства в группах для локальной учетной записи пользователя теперь
обновился (рис. 8.51 ).
Рис. 8.51 . Обновление членства пользователя в группах
Рис. 8.52. Удаление пользователя из локальной группы
3. Щелкните на кнопке ОК, чтобы сохранить изменения.
Единственный способ воспроизведения этого в командной строке предусматри
вает манипулирование самой группой, а не пользователем:
net localgroup aclministrators SRed /add
Удаление пользователя
Удалить пользователя из локальной группы также легко. Делать это можно одним
из перечисленных далее способов.
• Использование учетной записи пользователя. Применяйте учетную запись
пользователя, если это одноразовая операция или если вы удаляете несколько
прав доступа у какого-то пользователя.
• Использование группы. Применяйте группу, если вы удаляете идентичные
права доступа у нескольких пользователей.
Теперь мы покажем, каким образом модифицировать членство в группе
Fileshare путем удаления из нее пользователя Steve Red.
1. Откройте диалоговое окно свойств группы Fileshare (рис. 8.52).
2. Выберите пользователя SRed.
Удерживая клавишу или , можно выбрать более одного члена с
целью их удаления.
3. Выделив члены, подлежащие удалению, щелкните на кнопке Remove
(Удалить).
На этом все; ничего другого мя удаления члена из группы предпринимать не при
дется. Следующая команда удалит пользователя Steve Red из группы Fi leshare:
net localgroup fileshare SRed /delete
Чтобы удалить группу с использованием оснастки М МС, выполните следующие
шаги.
1. Найдите нужную группу.
2. Щелкните правой кнопкой мыши на группе и выберите в контекстном меню
пункт Delete (Удалить).
Обратите внимание на диалоговое окно, показанное на рис. 8.53, которое откры
вается при удалении группы. Оно сообщает, что удаление повлияет на множество
пользователей или компьютеров, которые являются членами этой группы.
Рис. 8.53. Запрос о том, действительно ли вы уверены в удалении группы
Сновд ВРЕМЯ ПОВЫШЕННОГО ВНИМАНИЯ
Это настолько важно, что стоит повторить: хотя вы видите пользователей, компью
теры и группы как относительно дружественные имена, такие как SRed, SERVEROl
или Fileshare, со стороны Wmdows они распознаются по-другому. Уникальная
идентификация этих участников безопасности осуществляется с помощью SID.
Идентификатор SlD создается каждый раз, когда создается новый участник безопасности. Это значит, что в случае создания учетной записи SRed, ее удаления и повторного создания Windows будет трактовать старый и новый объекты как два разных участника безопасности, хотя вы считаете их одним. В результате разрешения, назначенные старой учетной записи, в новой учетной записи отсутствуют.
Во всплывающем окне на рис. 8.53 предупреждается об этом. Вы должны быть на
сто процентов уверены в том, что организации больше не нуждается в участнике безопасности, прежде чем удалять его. Следует помнить, что после удаления группы теряются назначенные ей разрешения, а также членство в группе. Любой пользова
тель, которому были выданы права доступа к определенному ресурсу посредством
членства в данной группе, утратит доступ к этому ресурсу.
Приведенная ниже команда net localgroup удалит группу Fileshare безо всяких
предупреждений или запросов на подтверждение:
Группы Active Directorv
Базовые концепции групп Active Directory или домена и локальных групп не от
личаются. Они применяются для коллективного обращения к нескольким объек
там идентичным способом. Однако с группами Active Directory можно выполнять
намного больше операций. Это становится возможным из-за того, что группы та
кого типа хранятся в Active Directory на контроллерах домена, подмножество котарых сконфигурировано как глобальный каталог. В результате единственная группа
может содержать многих участников безопасности домена, подобных пользователям
и компьютерам, и использоваться всеми компьютерами внутри домена, к которому
эта группа принадлежит. В действительности группы можно применять за предела
ми их доменов, и существует даже категория групп, которые могут содержать членов
из любого домена в лесе.
Для uелей этого раздела вы должны полагать, что когда мы упоминаем группу, то
имеем в виду группу Active Directory. Есть два базовых типа групп.
• Группа рассылки (distribution group). Группа рассылки используется для объ
единения вместе нескольких объектов с uелью коллективной адресаuии.
Почтовый сервер вроде Microsoft Exchange может предостамять пользователям
группу рассылки как целевой адрес. Пользователь может отправить сообще
ние группе рассылки и почтовый сервер попытается разослать его всем членам
.группы при условии, что они имеют настроенные адреса электронной почты.
• Группа доступа (security group). Группа доступа также может выполнять функ
uию почтовой рассылки. Но основная uель этого типа групп, как должно быть
понятно из названия, связана с доступом. Группу доступа можно применять
для назначения разрешений или прав доступа к объекту или множеству объек
тов, таких как организационная единиuа, папка или компонент приложения.
Это позволяет Active Directory стать не только единым механизмом аутентифи
кации для сети, но также механизмом авторизации. Конечный пользователь
может использовать единственную учетную запись для получения авторизации
к защишенным ресурсам по всему лесу Active Directory, а не только в домене
или каком-то одном компьютере.
Различают три области действия групп.
• Локальная группа домена (domain local group). Локальная группа домена предна
значена для применения только внутри домена, в котором она была создана.
Она может содержать учетные записи пользователей/компьютеров, глобальные
группы и универсальные группы из любого домена в лесе, а также локальные
группы из того же самого домена.
• Dюбальная группа (global group). Это стандартная область действия при созда
нии группы в Active Directory. Глобальная группа может использоваться ком
пьютерами внутри домена, которые являются его членами, а также членами
других доменов в лесе Active Directory. Она может содержать учетные записи
пользователей/компьютеров из домена, в котором была создана.
• У ниве рсальная группа (universal group). Одна черта универсальных групп делает их
весьма отличающимися от групп других двух типов. Группы других дnух типов
хранятся и реплицируются на все контроллеры внутри домена, в котором они
были созданы. Универсальная группа хранится на контроллерах домена, скон
фигурированных в качестве глобального каталога. Это мияет на то, как универ
сальная группа реnлиuируется в домены по всему лесу. В результате появляется
возможность не только использовать универсальную группу всеми компьютера
ми в лесе, но и помещать в нее члены из любого домена внутри леса.
КРАТКОЕ ПРЕДОСТЕРЕЖЕНИЕ ОТНОСИТЕЛЬНО УНИВЕРСАЛЬНЫХ ГРУПП
При проектировании универсальной группы в крупных средах необходимо проявлять крайнюю осторожность, т.к. возникает дополнительная нагрузка репликации, когда группа создается или модифицируется. Active Directory будет реплицировать только изменения в универсальных группах, однако будьте аккуратны, чтобы не допустить масштабных изменений. Кроме того, необходимо удостовериться в том, что контроллеры домена с глобальным каталогом находятся близко к службам, на которые они интенсивно полагаются.
В сетях с единственным доменом особо переживать по поводу универсальных групп не придется, поскольку они применяются не слишком часто. Универсальные группы могут содержать учетные записи пользователей / компьютеров, глобальные группы и
другие универсальные группы из любого домена в лесе.
Возможно, вы отметили один аспект. Группы могут содержать другие группы.
Обычно это называют вложением групп. Для чего вкладывать группы друг в друга?
Ниже описаны два аргумента в пользу этого.
+ Одновременное управление несколькими rруппами. Представьте, что у вас
есть группы под названиями Accounts Management (Управление расчет
ными счетами) и Sales Management (Управление продажами). Вы хотите
иметь возможность работать с этими двумя группами одновременно, напри
мер, предусмотреть для них один адрес электронной почты, который будет
трактоваться как контактный список. Для этого создайте группу по име
ни Management (Управление) и поместите в нее в качестве членов группы
Accounts Management и Sales Management. Затем сконфигурируйте адрес
электронной почты для группы Management.
+ Управление орrанизациою1ыми еЩfНИЦаМИ в разных 6
отделах. В другом сценарии (рис. 8.54) созданы
Bi g Firm
организационные единицы для разных отде-
лов; например, пусть имеется домен BigFirm,
который содержит организационные едини-
цы BigFirmAccounts и BigFi rmSales.
Существуют два уровня IТ-обслуживания.
В BigFirm имеется отдел ГГ, который отвечает
за Active Directory и корпоративные функции
Именно в этом отделе вы работаете. В организационных единицах Accounts и Sales присутствуют небольшие бригады п; которые управляют только внутренними объектами в своихOU. Это называется делегированием. Вы хотите получить возможность создания
группы по имени Management, которая будет содержать начальников всех отде
лов. Вы не планируете управлять этими членами, а взамен поручить делать это 1Т —
персоналу внутри отделов. Создайте группу Accounts Management в BigFirm
Accounts и группу Sales Management в BigFirmSales. Это позволит IТ
персоналу внутри отделов управлять двумя указанными группами. Создайте груп
пу Management в BigFirm. Теперь можете добавить группы, предназначенные
для IТ-персонала внутри отделов, в качестве членов группы Management.
Как видите, группы Active Directory позволяют несколько большее, чем локаль
ные группы. Перед созданием группы важно осознавать, по какой причине она со
здается, и как будет использоваться. Области действия и типы групп можно изме
нять, но вы должны понимать, какое влияние это окажет.
Например, смена типа группы с глобальной на универсальную изменит репликацию Active Directory с выполняющейся между контроллерами домена внутри доме на на репликацию, проводимую между серверами глобального каталога через целый
лес. Дополнительный объем планирования определенно стоит потраченных на него
усилий, как вы увидите по мере чтения остального материала данной книги. Со вре
менем вы обнаружите, что применяете группы для самых разнообразных uелей:
• назначение разрешений общим файловым ресурсам;
• создание почтовых групп рассылки, содержащих члены из всего корпоратив
ного леса;
• назначение прав доступа для развертываемых операuионных систем;
• управление тем, какие компьютеры будут получать автоматизированное раз
вертывание Microsoft Visio;
• управление тем, на кого будет нацелен объект групповой политики (Group
Policy);
• делегирование административных прав части Active Directory.
Вам может показаться, что конuепuия вложения групп является слишком слож
ной и трудно разрешимой. Когда вы объедините ее с описательным стандартом
именования для своих групп, вы сможете сформировать механизм групп, который
очень прост в развертывании и управлении и делает возможным детализированное
делегированное функций администрирования.
Создание групп Active Directory
Самое время создать какие-нибудь группы Active Directory. Предположим, что вы
хотите создать группу, которая будет использоваться только внутри домена. Она будет
применяться для назначения прав доступа любому, кто является руководителем в ор
ганизации. Такое описание говорит о том, что вам нужна область доступа локальной
группы домена и тип группы доступа. Ранее вы создали организационную единиuу
под названием BigFirmSecuri ty Groups внутри домена bigfirm. com.
1. Откройте оснастку Active Directory
Users and Groups.
2. Щелкните правой кнопкой мыши в цен
тральной панели и выберите в контекс-
тном меню пункт New Group (Создать
группу). Откроется диалоговое окно New
Object — Group (Новый объект — группа).
3. Введите Managemen t в качестве име
ни группы. Это автоматически запол
нит поле имени группы для версий,
предшествующих Windows 2000 Server
(рис. 8.55), которое поддерживается в
целях обратной совместимости с унасле
дованными операционными системами.
4. Выберите переключатель Domaiп local
(Локальная домена) в разделе Group
scope (Область действия группы) и
оставьте выбранным переключатель
Security (Доступа) в разделе Group type
(Тип группы).
5. Щелкните на кнопке ОК, чтобы создать
группу.
Вероятно, вы заметили, что во время со
здания группы отсутствовала возможность
редактирования ее свойств. Вполне вероятно,
что вы хотите добавить описание и члены в
группу. Для этого щелкните правой кнопкой
мыши на имени группы и выберите в кон
текстном меню пункт Properties (Свойства),
Management Propertles
чтобы открыть диалоговое окно Maпagemeпt
Рис. 8.56. Добавление описания группы
Properties (Свойства Management ) , представ-
ленное на рис. 8.56.
Вы уже вводили описание для группы. Такой вид документирования позволя
ет администраторам немедленно понять, для чего предназначена группа. Мы об
суждали необходимость в наличии описания при рассмотрении локальных групп.
Документирование подобного рода становится бесконечно более важным в средах
Active Directory средних и больших размеров, где могут существовать множество
бригад администраторов, работающих с серверами.
СТАНДАРТЫ ИМЕНОВАНИЯ ГРУПП
Если домен будет разрастаться до крупных размеров или станет частью леса, то при
именовании групп важно выбрать какой-нибудь стандарт и неуклонно придержи
ваться его. Вспомните, что группы могут использоваться rде угодно внутри домена
или даже леса Active Directory. При наличии всего лишь двух доменов может подде
рживаться большая база данных пользователей и сложная организация. Насколько
значащим можно считать имя Management в организации, содержащей сотни или
тысячи пользователей? А что скажете о корпоративном или правительственном лесе
с множеством доменов и десятками тысяч сотрудников? Имя Managemen t, вероят
но, подойдет для малой или средней организации с единственным сайтом и неболь
шой бригадой П -специалистов.
Если вы работаете в организации с множеством отделов или сайтов, можете обдумать
создание групп Milan-Accounts Management и Milan-IT Management, например.
Они делают очевидным тот факт, что каждое имя группы ассоциировано с офисом
в городе Милане, а члены группы входят в состав руководства отдела. При наличии
множества доменов в лесе можно было бы предусмотреть группу вроде BigFirm
Milan-Senior Management. Любому администратору в любом домене внутри леса
известно, что это группа из домена BigFirm, а ее <mены работают в офисе в Милане,
к тому же все члены входят в состав старшего руководства в данном офисе.
Мы также рекомендуем добавлять к имени группы какой-то префикс, отражающий
тип этой группы, например, DL для локальной группы домена, DG для глобальной
группы домена или UG для универсальной группы. В итоге получается имя группы
вида DG-IT-Managernent-Milan или DL-IT-Management-Milan. Это позволит лег
ко различать типы rpyrm, что может быть удобно при поиске групп или указании их
в сценариях:.
В нижней части вкладки General (Общие) отображается тип и область действия
группы. Вы можете заметить, что их разрешено изменять. Тем не менее, есть несколь
ко соображений, которые должны быть учтены, прежде чем вносить здесь изменения.
Изменение типа группы с доступа на рассылки означает, что она больше не смо
жет применяться для назначения разрешений. Вам выдается предупреждение о том,
что любые разрешения, назначенные этой группе, могут прекратить свое функцио
нирование. Это особенно важно, если посредством этой группы вы запрещаете до
ступ к критическим ресурсам.
Мы протестируем, как это работает на общих файловых ресурсах, открыв доступ
к папке с использованием группы доступа и добавив в нее несколько членов. Мы
также применили разрешения к этой папке в файловой системе. Далее мы прове
рили, что члены группы имеют доступ к общему ресурсу и все работает должным
образом. Затем мы изменили тип группы, сделав ее группой рассылки. Мы прове
рили разрешения общего ресурса и папки, и группа рассылки по-прежнему имеет
права доступа к нему. Тестирование доступа пользователя показывает, что пользо
ватель все еще располагает правами доступа к этой папке. Пока все хорошо. Затем
пользователь вышел из системы и снова вошел. И вот тут пользователь теряет права
доступа. Группа, ставшая группой рассылки, по-прежнему располагает правами, но
они больше не действуют. После этого мы возвратили тип группы обратно, сделав
ее группой доступа. Чтобы удостовериться в возобновлении доступа пользователя к общему ресурсу, нужно еще раз выйти и войти в систему.
Такое поведение вовсе не должно считаться плохим — ничуть. Давайте подумаем
о сценарии, когда есть много глобальных групп доступа, которым бьuш назначены где-нибудь разрешения на доступ к каким-то общим ресурсам. Вы даже не можете вспомнить, где делались назначения этой группы. Вы принимаете все меры, чтобы выяснить, где эта группа находится и к какому общему ресурсу она принадлежит. Позже вы решаете удалить эту группу, поскольку думаете, что она больше не используется. В такой ситуации вы могли бы просто изменить ее тип на группу рассылки, и все разрешения станут неактивными. Это означает, что группа в какой-то мере отключена. Если спустя некоторое время пользователи начнут жаловаться на отсутствие у них доступа к общему ресурсу XYZ, следовательно, группа все еще эксплуатируется. Мы сознаем, что подход с вовлечением пользователей нельзя назвать особо гладким, но во многих случаях просто нет другого выхода.
Любое действие, которое будет влиять на членов группы, обычно требует от
пользователя выйти и снова войти. Вот уже третий раз в данной главе мы заявляем:
это определенно было решением практически всех вопросов с членством в группах
и назначением прав доступа, с которыми нам приходилось сталкиваться в своей
работе. Помните о нем, когда выдаете пользователю права доступа к ресурсу, добавляя его в группу.
Рис. 8.57. Добавление новых членов в
группу Active Directoгy
Вы не можете изменить группу, являющуюся локальной группой домена, чтобы
превратить ее в глобальную группу, или наоборот. Однако вы можете поменять область действия группы, сделав ее универсальнойгруппой. После этого вы сможете изменить ее либо на локальную группу домена, либона глобальную группу. Удостоверьтесь в том, что список членов не конфликтует с предпочитаемой областью действия группы. Если вы изменяете область действия группы с глобальной на локальную домена, то должны быть уверены, что группа не используется в другом домене. Изменение может привести к утере доступа к защищенным ресурсам для членов группы. Администраторы в крупныхреализациях лесов должны давать себе отчет,что преобразование существующей группы в универсальную группу потенциально увеличивает трафик репликации глобального каталога.
Функциональность членства в группах домена и в локальных группах работает
похожим образом. Откройте диалоговое окно свойств группы (рис. 8.57). Добавлять
и удалять члены можно посредством кнопок Add (Добавить) и Remove (Удалить).
На рис. 8.58 видно, что группы домена способны содержать большее число типов
объектов, чем локальные группы; новые типы описаны ниже.
• Other objects (Другие объекты). Это гибкое решение позволяет добавлять чле
ны, которые создаются приложениями, т.е. это не обычные пользователи, ком
пьютеры или группы.
• Contacts (Контакты). Такие объекты создаются в Active Directory для хранения
контактной информации о людях или организациях. Это могло бы использо
ваться для групп рассылки.
• Service accounts (Учетные записи служб). Это новая возможность Windows
Server 2012, позволяющая настраивать выделенные учетные записи служб
вместо создания учетных записей пользователей и назначения их службам.
OЬJect Types
Рис. 8.58. Выбор типов объектов для потенциальных членов
Поскольку вы имеете дело со списком членов группы домена, вы не можете
добавлять участников безопасности, основанных на локальной машине, т.е. ло
кальных пользователей или локальные группы. Такие участники безопасности су
ществуют только на своем компьютере, поэтому нет никакого смысла добавлять
их группу уровня домена или леса. По этой причине диалоговое окно Locatioпs
(Местоположения), показанное на рис. 8.59, предлагает только домены, которые существуют в лесе.
Рис. 8.59. Выбор местоположения для нового объекта члена
Группы домена можно вкладывать друг в друга; другими словами, группа может
быть членом другой группы. Членством группы в других группах можно управлять
на вкладке Member Of (Членство в группах), приведенной на рис. 8.60.
Вкладка Managed Ву (Управляется), показанная на рис. 8.61, обладает интересной
новой возможностью. Будучи администратором, возможно, вы не имеете понятия,
по какой причине осуществляется доступ к защищенным данным. У вас достаточно
возможностей, чтобы войти в сеть, не говоря уже о том, чтобы знать о полных биз
нес-операциях. Решение лучше всего принимать владельцу данных, обычно началь
нику отдела или ведущему специалисту бригады.
Management Propert!es
Рис. 8.61 . Вкладка Managed Ву для
группы Active Directory
Как часто (но не всегда) выглядит наилучшее решение? Вы можете передать все
полномочия по контролю доступа в руки мадельца данных. Устраните посредника,
в данном случае IТ-специалиста. Если владелец данных может управлять доступом к
ресурсу, то бизнес сумеет приспособиться к возникающим требованиям.
Вкладка Managed Ву позволяет выбрать пользователя или группу в качестве вла
дельца данной группы. Этой группе можно назначить права доступа к ресурсам.
Но самое интересное мы оставили на закуску. Выбранному владельцу можно вы
дать права на управление членством в группе, отметив флажок Manager сап update
membership list (Руководитель может обновлять список членства). Великолепно!
Вы не должны выдавать права руководителя для управления правами доступа к
общей папке. Можете ли вы представить себе, какие бедствия возникли бы в ре
зультате этого? Простое решение заключается в том, чтобы позволить руководи
телю управлять членством в группах, которые имеют права доступа к общей пап
ке. Понадобится всего лишь предоставить механизм для редактирования членства
в группах, такой как оснастка Active Directory Users and Computers, сценарий или,
возможно, веб-аплет.
Создание группы в командной строке
Важно освоить управление группами из командной строки. Сначала мы посмот
рим, как создать группу, используя команду dsadd gro u p . Справку по этой команде
можно получить следующим образом:
dsadd group /?
Ниже приведена простая команда, которая воссоздает то, что можно делать с по
мощью графического пользовательского интерфейса. Она создает локальную группу
домена под названием Management внутри организационной единицы BigFirm
Security Groups в домене bigfirm. com.
dsadd group «CN=Management,OU=Security Groups,OU=BigFirm, DC=Ьigfirm, DC=com»
-scope 1
Вот синтаксис команды:
dsadd group -scope
По умолчанию создается группа доступа. Если необходимо создать глобальную
группу, опцию -scope можно не указывать. Глобальная группа рассылки создается
так:
dsadd group «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=com»
-secgrp no -scope g
Изменение в синтаксисе выглядит следуюшим образом:
-secgrp
По умолчанию создается группа доступа, т.е. опцию -secgrp можно опустить,
если это и требуется.
Помните ли вы, что в графическом пользовательском интерфейсе мя создания
групп домена премаrалась только возможность создать группу и ничего больше?
Дnя установки свойств или добавления членов приходилось открывать диалоговое
окно свойств группы.
В командной строке можно воспользоваться следующей командой:
dsadd group «CN=Senior Management, OU=Security Groups, OU=BigFirm,
DC=Ьigfirm, DC=com» -scope g -desc «This g:::oup contains senior nanagers»
-memЬerof «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=com»
-members «CN=Steve Red, OU=Users , OU=BigFirm, DC=t:igfirm, DC=com»
«CN=Simona Corso, OU=Users, OU=BigFirm, DC=Ьigfirm, DC=com»
Эта команда выполняет довольно много действий. В организационной единице
Securi ty Groups (Группы доступа) создается глобальная группа доступа по имени
Senior Managernent (Старшее руководство). В качестве описания группы указы
вается строка This group contains senior rnanagers (Эта группа содержит стар
ших руководителей). Группа Senior Managernent добавляется в виде члена в группу
Managers. И, наконец, в новую группу Senior Managers добавляются два пользо
вателя.
Для модификации существующей группы применяется команда dsrnod. Вот как
получить справочную информацию по ней:
dsmod group /?
Показанная ниже команда добавляет пользователей Steve Red и Sirnona Corso в
группу Managernent:
dsrnod group «CN=Management,OU=Security Groups,OU=BigFirm, DC=Ьigfirm, DC=com»
-addrnbr «CN=Steve Red, OU=Users, OU=BigFirm, DC=Ьigfirrn, DC=com»
«CN=Simona Corso, OU=Users, OU=BigFirrn, DC=Ьigfirm, DC=corn»
Синтаксис выглядит следующим образом:
dsrnod group
-addrnbr
А вот как удалить пользователя Steve Red из группы:
dsmod group «CN=Management, OU=Security Groups, OU=BigFirrn, DC=Ьigfirm, DC=com»
-rmmbr «CN=Steve Red, OU=Users, OU=BigFirm, DC=Ьigfirrn, DC=com»
С помощью приведенной далее команды можно очистить существующий список
членов группы и добавить список на замену:
dsmod group «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=com»
-chrnЬr «CN=Steve Red, OU=Users, OU=BigFirm, DC=Ьigfirm, DC=corn»
Посредством следующей команды можно изменить область действия группы,
сделав ее универсальной:
dsmod group «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=co:n»
-scope u
Вот синтаксис опции -scope:
-scope
К сожалению, с помощью команды dsmod group нельзя установить свойства ру
ководителя для группы.
Каким образом удалить группу? Это очень легко:
dsrm «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьig firm, DC=com»
Эта команда удалит группу Management. Она запрашивает подтверждение удале
ния. Пропустить такой запрос можно следующим образом:
dsrm «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьig firm, DC=com»
-noprompt
Задачи администрирования. выполняемые в понедельник утром
А теперь мы рассмотрим распространенные операционные задачи, которые могут
делаться на регулярной основе. Наш опыт показывает, что любой сотрудник службы
поддержки обнаружит, что утро каждого понедельника расходуется на выполнение
этих задач, если механизм аутентификации спроектирован недостаточно тщательно.
Чтобы понять, что мы имеем в виду, почитайте еще раз обсуждение кодовых фраз
и смарт-карт ранее в этой главе. Мы рассмотрим участников безопасности домена,
поскольку именно они отнимают большую часть времени.
Забытые пароли
Первая задача имеет отношение к сотруднику, который не может запомнить свой
пароль. Обычно это самая частая причина обращения в службу поддержки после
выходных. Давайте посмотрим, как сбросить пароль для пользователя. В конце кон
цов, пользователь является вашим заказчиком, и вы должны обеспечить для него
качественное и своевременное обслуживание.
1. Если вы пользуетесь графическим интерфейсом, перейдите к учетной записи
нужного пользователя внутри оснастки Active Directory Users and Computers.
2. Щелкните правой кнопкой мыши на имени пользователя и выберите в кон
текстном меню пункт Reset Password (Сбросить пароль), чтобы открыть диа
логовое окно Reset Password (Сброс пароля).
3. Введите новый пароль для пользователя, как показано на рис. 8.62
Новый пароль должен удовлетворять политикам паролей, которые применяются
к пользователю. Необычность ситуации в том, что вы собираетесь диктовать этот
пароль пользователю по телефону. Согласно нашему опыту, вы должны выбрать та
кой пароль, который легко продиктовать. Будьте осторожны, т.к. вы можете иметь
дело с людьми, для которых родным языком является не английский. Пароль напо
добие Password123456789 легко сообщить по телефону, и он удовлетворяет стандартным требованиям к паролям.
Enter User Password :
Введите пароль для пользователя:
Confi rm user password :
Подтвердите пароль для пользователя :
dsmod succeeded : CN=Steve Red, OU=Users , OU=BigFi rm, DC=Ьigfirm, DC=com
dsmod выполнилась успешно : CN=Steve Red, OU=Users , OU=BigFirm, DC=b.igfi rm, DC=com
Опция -pwd * указывает на то, что вы введете пароль и подтвердите его. В качес-
тве альтернативы пароль можно сбросить в самой команде:
dsmod user «CN=Steve Red, OU=Users , OU=BigFi rm, DC=Ьigfirm, DC=com»
-pwd Passwordl 2 3 4 5678
К любой из этих команд можно добавить дополнительную опцию, чтобы заста
вить пользователя изменить свой пароль при следующем входе:
dsmod user «CN=Steve Red, OU=Users, OU=BigFi rm, DC=Ьigfirm, DC=com»
-pwd Passwordl 234 5678 -mustchpwd yes
Заблокированные пользователи
Ох уж эти политики блокирования паролей.» Подавляющему большинству «экспертов по безопасности», которых вы встретите в Интернете или лично, нравится
политика «три неудавшихся попытки входа в систему в течение 30 минут должны
приводить к блокировке учетной записи». Знаете что? Это отличный рецепт для
упрощения атаки типа «отказ в обслуживании». Получите на пару минут доступ к
настольному компьютеру внутри леса посредством учетной записи обычного поль
зователя, и вы сможете запустить сценарий, который вмиг совершит по пять не
удавшихся попыток входа для каждого пользователя в Active Directory. В итоге будут
заблокированы все пользователи кроме стандартных учетных записей администра
торов домена. Бизнес-деятельность организации прекратится. Именно по этой причине настоящие эксперты по безопасности рекомендуют вам очень хорошо обду
мать применение варианта блокирования для паролей. (Внутри врезки «Случай для
кодовых фраз» ранее в этой главе была описана альтернатива.) Как раз по этим со
ображениям блокировки по умолчанию отключены в стандартной политике домена (Default Domain Policy). И по нашему мнению это очень хорошо. Тем не менее, некоторые организации включают данную политику. Они могут иметь веские основания для этого. Следовательно, важно знать, каким образом разблокировать учетную запись пользователя. Отметим, что это определено в объекте стандартной групповой политики (GPO) домена внутри Active Directory. Стандартной настройкой в Windows Server 201 2 является О, т.е. не блокировать учетные записи пользователей после не удавшихся попыток входа.
два простых сценария блокировки
Первый сценарий связан с ситуацией,когда пользователь сообщил о том, что компьютер проинформировал о его блокировании. Ему известен пароль, поэтому сбрасывать его не придется. С помощью оснастки Active Directory Users and Computers найдите учетную запись пользователя и откройте для нее диалоговое окно свойств. Как показано на рис. 8.63, вкладка Account (Учетная запись) содержит сообщение, информирующее о том, что учетная запись заблокирована.
Решение очень простое — вы разблокируете
учетную запись. Конечно, пользователь вдобавок мог забыть свой пароль, и тогда его нужно будет сбросить.
Второй сценарий касается ситуации, когда знание пользователя о проблеме ограничивается тем, что он не может войти. Проблемможет быть две. Пользователь мог забыть
Рис. 8.63. Пользователь Active Directory заблокирован
свой пароль, или его учетная запись оказалась заблокированной. Вы должны убить двух зайцев одним выстрелом, имея дело с
обеими возможностями. Откройте диалоговое окно Reset Password (рис. 8.64).
The user mJlt Jogolf ;!lld then logan aglll»I for the cNnge to take effed
AccOtrt lodt.Ol.A smtus on ttu Domait Catroler: locXed О1А
Рис. 8.64. Разблокирование учетной
записи пользователя и сброс пароля
К сожалению. похоже, что способ разблокирования учетных записей в команд
ной строке отсутствует — разумеется, исключая PowerShell.
Итак, мы раскрыли все возможности базового управления пользователями и
группами, которые являются общими для всех версий Windows Server. А теперь давайте посмотрим, что появилось нового в Windows Server 201 2.
Использование новых средств для управления пользователями и группами
Все, что обсуждается в данном разделе, применимо к версиям Windows Server
2008 R2, Windows Server 2012 и Windows Server 2012 R2. В Windows Server 2012 были внесены два значительных изменения, имеющие отношение к управлению пользователями и группами.
• Центр администрирования Active Directory (Active Directory Administrative
Center — ADAC) был обновлен и построен поверх PowerShel. Кроме того,
в консоль были интегрированы новые средства, такие как корзина Active
Directory с графическим пользовательским интерфейсом и деталюированные
политики паролей.
• В ADAC бьu�а добавлена хронология PowerShel для более простого управления
и создания пользователей и групп, а также других объектов.
В Windows Server 2008 R2 уже был интегрирован инструмент PowerShell 2.0, и
в плане управления пользователями и группами каких-либо новых командлетоn в
Windows Server 2012 не появилось. Хотя в Windows Server 201 2 интегрирован новый
инструмент PowerShell 3.0, а в Windows Server 2012 R2 — PowerShel 4.0, большинс
тво новых командлетов, связанных с Active Directory, предназначены для управления
компонентами Active Directory, а не пользователями и группами.
Тем не менее, по ссылке http : //tinyurl . com/Sotmff можно загрузить бес
платные команды PowerShell для Active Directory от Quest (Free PowerShell Commands
for Active Directory). Эти командлеты обладают синтаксисом, похожим на синтаксис
встроенных командлетов Windows Server 2012, но в некоторых отношениях предла
гают чуть лучшую поддержку и гибкость, например, при доступе к атрибутам поль
зователей. В настоящем разделе мы рассмотрим встроенные командлеты PowerShell
в Windows Server 2012.
Центр администрирования Actlve Directorv
Разработчики из Microsoft расширили и привели в порядок графический поль
зовательский интерфейс нового центра администрирования Active Directory, сделав
его больше ориентированным на задачи. Ходят слухи о том, что инструмент Active
Directory Users and Computers (Пользователи и компьютеры Active Directory), или
ADUC, в дальнейшем не будет поддерживаться, и основное внимание будет сосре
доточено на Active Directory Administrative Center (ADAC). Тем не менее, в Windows
Server 2012 доступны оба инструмента, и один не может работать без другого. Мы
считаем ADUC унаследованным, а ADAC — будущим инструментом.
Стратегия Microsoft предельно ясна: PowerShell. Учитывая, что ADAC — это
просто графический пользовательский интерфейс для доступа к функциональности
PowerShell, полезно исследовать возможности данного инструмента. В Microsoft хотели предоставить инструмент для быстрого и простого выполнения часто повторяющихся задач, таких как обработка блокировок пользователей утром по понедельникам. Инструмент ADAC доступен через меню Tools (Инструменты) диспетчера
серверов на контроллере домена Windows Server 2012.
Его можно также использоватьна компьютере Windows 8, на котором установлены инструменты дистанционного администрирования серверов (Remote Server Administration Tools) для Windows 8(http : / /www . microsoft . com/en-us /download/detail s . aspx? id=2 8 97 2).
Если на компьютере функционирует версия Windows 8. 1 , и вы хотите управ
лять из него сервером Windows Server 201 2 R2, проследуйте по ссылке http : //
www .microsoft . com/en-us/download/details . aspx? id=392 96. Данный инс
трумент загружается несколько дольше, чем Active Directory Users and Computers, так
что можете запускать его утром и оставлять в работающем состоянии до конца дня.
основные элементы ADAC
Открыв ADAC, вы увидите, что означает ориентация на задачи (рис. 8.65). В цен
тральной панели находится интерфейс, специально предназначенный для сброса
паролей и разблокирования учетных записей пользователей. Это наиболее распро
страненные задачи Active Directory, выполняемые персоналом п; так что их наличие
в инструменте имеет смысл.
Что бы происходило в отсутствие ADAC, когда пользователь позвонил в корпоративную службу поддержки с просьбой сбросить его пароль или разблокировать учетную запись? Техническим специалистам из службы поддержки понадобится найти этого пользователя в организационных единицах Active Directory. После этого они могут щелкнуть правой кнопкой мыши на имени пользователя, открыть диалоговое
окно его свойств и выполнить задачу. Это предполагает знание инженером службы
поддержки способа поиска в Active Directory. Кроме того, тратится также и время.
На рис. 8.65 видно, что с помощью ADAC инженер службы поддержки просто вводит имя пользователя и новый пароль. Флажок Unlock account (Разблокировать учетную запись) недоступен, т.к. эта учетная запись не заблокирована.
Инструмент ADAC также облегчает нахождение объектов службой поддержки.
На рис. 8.66 показано, что мя поиска объекта можно ввести его имя.
Рис. 8.66. Поиск объекта в Active Directory
На рис. 8.66 представлены результаты поиска. Вы видите, насколько легко было
найти объект пользователя SRed. Теперь инженер службы поддержки может щелк
нуть правой кнопкой мыши на объекте пользователя и выполнить мя него необ
ходимые задачи администрирования. Средство поиска довольно интеллектуально,
потому что оно ищет в атрибутах объекта, т.е. свойствах объекта. Инженер мог бы
искать S, Steve или Steve Red и все равно найти объект пользователя SRed. Поиск
совершенно не ограничивается объектами пользователей! Искать в домене можно
объект любого типа, такой как группы и компьютеры.
Чтобы добраться до средства Global Search (Глобальный поиск), щелкните на эле
менте Global Search в навигационной панели слева. В панели справа отобразятся поисковые опции средства Global Search.
Щелчок на раскрывающемся списке Add criteria (Добавить критерий) предостав
ляет доступ к действительно мощным опциям мя уточнения поиска (рис. 8.67).
Взгляните на эти встроенные критерии и подумайте, насколько полезными они могут оказаться. Каждое утро вы можете начинать с поиска заблокированных учетных
записей и разблокирования их до того, как сотрудники прибудут на свои рабочие
места. При рассмотрении локальных учетных записей пользователей мы рекомендовали отключать учетные записи вместо немеменного их удаления. Чтобы установить один из критериев поиска, отметьте флажок рядом с критерием и щелкните на
кнопке Add (Добавить).
На рис. 8.67 выбрана опция Users with enaЫed accounts who have not logged оп for
more than а given number of days (Пользователи с включенными учетными данными,
которые не входили на протяжении заданного количества дней).
Рис. 8.67. Потенциальный критерий поиска
В центре диалогового окна, показанного на рис. 8.68, видно, что вы можете вы
брать количество дней из заранее определенного диапазона опций. Это очень удоб
но. В идеальном случае отдел кадров должен связываться с IТ-отделом всякий раз,
когда сотрудник покидает компанию. Тем не менее, все мы люди, и все мы допус
каем ошибки. Применяя такой поисковый запрос, вы можете идентифицировать
«просроченные» учетные записи пользователей и отключить их. Чтобы удалить критерий поиска, щелкните на значке х серого цвета справа.
Вы даже можете построить более сложный запрос, щелкнув на раскрывающемся
списке Add criteria. Например, типом объекта мог бы быть Computer (Компьютер), а имя объекта начинаться с В. Это значит, что вы получите результаты поиска, которые не содержат объекты других типов наподобие групп, пользователей и организационных единиц.
Рис. 8.68. Нахождение всех пользователей, которые не входили в течение 1 5 дней
Щелкнув на небольшом значке с дискетой правее поля поиска, запрос можно
сохранить для последующего использования. Запросу назначается имя (лучше опи
сательное), а доступ к нему осуществляется по щелчку на значке, расположенном
слева от значка с дискетой. Раскроется список всех сохраненных запросов. Выбор
сохраненного запроса приводит к его загрузке и выполнению.
После того, как объект найден, с ним необходимо что-то делать. Когда объект вы
бран, в панели Tasks (Задачи) справа отобразятся контекстно-чувствительные действия.
Для управления выбранным объектом понадобится щелкнуть на одной из задач.
навигация в ADAC
Ознакомившись с основами, давайте начнем с изучения навигации в ADAC.
Навигационная панель имеет списковое представление (отображаемое по умолча
нию) и древовидное представление. Списковое представление содержит предвари
тельно выбранное множество местоположений, включая перечисленное ниже:
• область ADAC Overview (Обзор ADAC), с которой вы начинаете и в которой
можно быстро обработать базовые запросы пользователей и производить прос
той поиск;
• домен, откуда можно переходить в любую организационную единицу или кон
тейнер;
• контейнеры Users (Пользователи) и Computers (Компьютеры), rде в идеаль
ном случае ничего не добавляется;
• инструмент Global Search, с которым вы уже знакомы.
Чтобы добавить другие местоположения, щелкните правой кнопкой мыши в на
вигационной панели и выберите в контекстном меню пункт Add Navigatioп Nodes
(Добавить узлы для навигации). Откроется окно, в котором можно проходить по
структуре Active Directory (рис. 8.69).
• ,User (Создатьq Пользователь) в панели Tasks. Откроется диалоговое окно,
представленное на рис. 8. 72. Ого! Это огромное диалоговое окно поначалу может
слегка приводить в растерянность. Давайте осмотримся вокруг, прежде чем что-то
делать. Для начала упростим обстоятельства. Чтобы создание пользователя стало
возможным, вам необходимо заполнить только поля, помеченные символом звез
дочки (*) красного цвета. Навигационная панель слева подсказывает, что данное
окно разбито на разделы. С помощью кнопки Sections (Разделы), находящейся в
правом верхнем углу, можно сворачивать или разворачивать эти разделы. Это поз
воляет скрывать любые разделы, которыми вы никогда не пользуетесь. Инструмент
ADAC запомнит, какие разделы свернуты или развернуты .
Рис. 8. 72. Соэдание нового пользователя в ADAC
На рис. 8. 73 показано это же диалоговое окно, в котором были свернуты разде
лы Orgaпizatioп (Организация) в центре окна и Епсгурtiоп optioпs (Параметры шиф
рования) справа вверху. Кроме того, в нем заполнены поля, чтобы создать нового
пользователя по имени Kevin Greene. Вместо прохода по экранам мастера и затем
открытия диалогового окна свойств пользователя для завершения операции, все не
обходимое можно сделать здесь. В этом диалоговом окне доступны все распростра
ненные опции для настройки пользователя. Такое первоначально приводящее к рас
терянности окно сокращает время, затрачиваемое на создание и конфигурирование
учетной записи пользователя.
На рис. 8.76 показано, что подобно диалоговому окну мя создания пользователя,
некоторые разделы можно сворачивать. Сейчас это и будет сделано.
Чтобы упростить представление, можете щелкнуть на кнопке Sections и свернуть
раздел Member Of (Членство в группах)
Давайте создадим группу по имени Helpdesk. На рис. 8.77 приведено запол
ненное диалоговое окно для создания новой группы Helpdesk. Опять-таки, в этом
единственном диалоговом окне можно вводить большой объем информации, не
проходя по экранам мастера и затем редактируя свойства объекта группы.
Create r.roup: Helpde�k
Рис. 8.77. Создание группы Helpdesk в ADAC
Выполните перечисленные ниже шаги.
1. Введите имя группы и заполните поле Group (SamAccouпtName) (Имя учетной
записи SAM для группы).
2. Укажите тип и область действия группы.
3. Отметьте флажок Protect from accidental deletion (Защитить от случайного
удаления), чтобы эту группу нельзя бьuю непредумышленно удалить.
4. Укажите адрес электронной почты для распространения почты (это требует
совместимой почтовой службы).
5. Введите описание и примечания.
6. Укажите руководителя группы, который будет управлять членством в группе.
Теперь члены старшего руководства могут изменять членство в группе
Helpdesk.
7. Добавьте двух пользователей в группу Helpdesk.
8. Щелкните на кнопке ОК, чтобы создать группу.
Возвратившись в окно свойств объекта группы, можно отредактировать конфи
гурацию или членство в группе (рис. 8.78).
Рис. 8. 78. Просмотр свойств объекта группы в ADAC
Как и со свойствами объекта пользователя, в диалоговом окне для создания объ
екта группы атрибуты из раздела Exteпsioпs не видны.
В завершение работы с Active Directory Administгative Center мы приведем еще
несколько советов.
• Инструмент ADAC может быть остановлен только на машинах с Windows
Serveг 2012 и компьютерах с Windows 8, на которых функционируют Remote
Server Administrative Tools (RSAТ).
• Вы можете управлять доменами в своем лесе или в других лесах, связанных
доверительными отношениями, и вы располагаете для этого соответствующи
ми разрешениями.
• В навигационной панели вы можете щелкнуть правой кнопкой мыши на име
ни домена и посредством контекстного меню подключиться к другим конт
роллерам доменов.
Это может делаться для выполнения работ на контроллере домена в другом
сайте с целью, например, управления локальными пользователями и получе
ния немедленных результатов, не ожидая репликации меЖду сайтами.
• Чтобы можно было использовать ADAC для управления доменом, по крайней
мере, на одном контроллере этого домена должны быть установлены веб-служ
бы Active Directory (Active Directory Web Services — ADWS).
Если вы устанавливаете контроллер домена Windows Server 2012, то службы
ADWS установятся и запустятся автоматически.
Они предоставляют интерфейсв виде веб-служб для управления Active Directory с помощью таких средств,как ADAC и PowerShell.
Внутри области ADAC Overview в ADAC вы найдете гиперссьшки на онлайновое
содержимое по ADAC и новым модулям PowerShell для управления Active Directory
с применением PowerShell.
Просмотр хронологии PowerShell
Вы могли заметить, что в ADAC имеется один новый раздел, который называ
ется Windows PowerShell History (Просмотр хронологии PowerShell). По обыкнове
нию он свернут, и если вы не осведомлены о нем, то будете спокойно работать в
ADAC, даже не подозревая о его существовании. Чтобы развернуть раздел Windows
PowerShell History, понадобится щелкнуть на кнопке со стрелкой, указывающей вниз
(рис. 8.79).
Рис. 8. 79. Отображение раздела Windows PowerShell History
На рис. 8.79 видно, что есть новый пользователь по имени Chris Greuter.
Непосредственно после щелчка на кнопке О К в диалоговом окне создания пользо
вателя в хронологии PowerShel появляются команды PowerShell. Например, чтобы
создать простого включенного пользователя с минимальным вводом, запускаются
пять разных командлетов. Внимательно взглянув на эти команды, вы увидите, что
они предпринимают следующие действия.
1. Командлет New-ADUser настраивает базовую структуру объекта пользователя
без пароля. Вследствие этого учетная запись блокируется.
2. Командлет Set-ADAccountPassword устанавливает пароль для пользователя.
3. Командлет EnaЫe-ADAccount включает учетную запись пользователя, т.к. па
роль бьш установлен.
4. Командлет Set-ADAccountControl устанавливает все параметры учетной за
писи AD, которые расположены на вкладке Account (Учетная запись) диало
гового окна свойств объекта пользователя. Эти параметры предназначены для
указания таких характеристик, как имеет ли пользователь возможность изме
нять пароль либо истекает ли срок действия его пароля.
5. Командлет Set-ADUser устанавливает дополнительные параметры пользовате
ля, вроде того, должен ли пользователь изменить пароль при следующем входе
или требуется ли для входа см арт-карта.
Именно так ADAC работает «за кулисами». Разумеется, если вы собираетесь со
здать объект пользователя, то не будете запускать пять командлетов по отдельности;
вместо этого вы упакуете всю необходимую информацию в одну строку.
Нет разницы в том, создаете вы пользователя, группу или даже организацион
ную единицу; инструмент ADAC регистрирует в этом окне каждый шаг PowerShell.
Чтобы просмотреть полные детали по каждой команде, можете щелкнуть на значке +
слева от командлета. Это приведет к разворачиванию всех параметров, как показано
на рис. 8.80.
Рис. 8.80. Развернутый командлет PowerShell
При желании можете щелкать на всех значках +, и ADAC обучит вас этим ко
мандам. Разве это не хорошая возможность? На самом деле все даже еще лучше.
В верхней части раздела Windows PowerShell History расположены ссылки на различ
ные действия. В поле Search (Поиск) можно искать определенную команду. По мере
набора панель результатов будет корректироваться согласно введенным данным в
этом поле.
Рядом с полем Search находятся ссылки на пять действий, а также ссылка Help
(Справка):
• С о р у (Копировать)
• Start Task (Начать задачу)
+ End Task (Завершить задачу)
• Clear All (Очистить все)
• Show All (Показать все)
Действие С ору позволяет скопировать полную строку команды из хронологии
PoweгShell с целью последующей ее вставки в окно редактора, такого как Notepad
(Блокнот). Можно даже выбрать несколько строк команд, щелкая на них при удер
живаемой в нажатом состоянии кнопке , и затем щелкнуть на Сору.
Скорее всего, вы уже поняли, что этот небольшой раздел быстро заполняется,
и если необходимо отследить некоторое действие, то могут возникнуть проблемы
с выяснением, к какому шагу относится тот или иной командлет. По этой причине
могут использоваться действия Start Task, End Task и Clear All. Прежде чем начать,
удостоверьтесь в том, что флажок Show All, показанный ранее на рис. 8.79, не от
мечен. Позже мы объясним, что он делает, но пока оставьте его неотмеченным и
выполните следующие шаги.
1. Щелкните на Clear All.
Это приведет к очистке всех команд в панели Windows PowerShell History.
2. Щелкните на Start Task. Откроется прямоугольная область, где необходимо
ввести значащее описание задачи, которую планируется выполнить, например,
New User (Новый пользователь).
3. Создайте нового пользователя в Active Directory с применением ADAC, щелк
ните на кнопке ОК в диалоговом окне создания пользователя и затем щелкни
те на End Task.
4. Щелкните на Start Task еще раз и введите в прямоугольной области описания
задачи Delete User (Удалить поль
зователя).
5. Перейдите к ранее созданному поль
зователю в ADAC и удалите его.
6. Снова щелкните на End Task. Вы
должны получить сгруппирован
ное представление команд, как на
рис. 8.81.
Вы получаете не только структури
рованный обзор в окне; скопиро
вав команды внутрь редактора, вы
увидите, что описания New User и
Delete User добавлены к сценарию
в виде комментариев, что действи
тельно удобно.
/WINDOWS POWERSHEU HISТORY
1 Seorrh Р Сору Start Task End Т asl,DC
13 Set-ADAccountControt
Рис. 8.81. Группирование команд PowerShell
Последней опцией является Show All. Если вы отметите этот флажок, в панели
Windows PowerShell History отображается больше команд.
7. Выберите организационную единицу BigFirmUsers и нажмите клавишу
, чтобы обновить ее содержимое.
Обратите внимание, что отобразились команды, которых вы ранее не nиде.ш.
Почему это произошло? Подумайте о следующем: инструмент ADAC построен
поверх PowerShell, так что когда вы обновляете организационную единицу, на
самом деле вы заставляете ADAC повторно запросить ее. В PowerShel это дела
ется с помощью командлета Get-ADObj ect. Скорее всего, вам не нужно такое
обилие команд PowerSheI, поэтому лучше снимите отметку с флажка Show All.
Итак, вы ознакомились с основами создания объектов в PowerSheI. В следующем
разделе PowerShel будет рассматриваться более глубоко.
Модуль Active Directorv для Windows PowerShell
Модуль Active Directory дпя Windows PowerSheI позволяет выполнять операции
в командной строке и внутри сценариев с использованием нового языка оболочки
Microsoft. Подобно ADAC, он доступен только n Windows Server 201 2 и Windows 8
(с установленными инструментами Remote Server Administration Tools). Также подоб
но ADAC, в домене, которым нужно управлять, должна быть установлена роль ADWS
хотя бы на одном контроллере домена. Чтобы обеспечить оптимальную произво
дительность, на контроллерах домена Windows Server 2003 или Windows Server 2008
внутри сайта можно установить службу шлюза для управления Active Directory
(Active Directory Management Gateway Service; http : //tinyurl . com/yЫxwey).
Теперь мы рассмотрим, как управлять пользователями и группами с применением
данного модуля PowerShel. Мы опишем наиболее распространенные сценарии, но
настоятельно рекомендуем продолжить изучение этой темы на веб-сайте Microsoft:
http : //technet .microsoft . com/en-us/library/hh85227 4 . aspx
Вы не будете использовать обычное окно PowerSheI. Вместо этого необходимо
запустить модуль Active Directory для Windows PowerSheI через меню Admiпistrative
Tools (Администрирование) либо на контроллере домена Windows Server 2012, либо
на машине Windows 8 с установленными инструментами RSAТ.
В случае Windows Server 2008 R2 при открытии окна PowerSheI в первый раз по
надобится загрузить модуль Active Directory с помощью следующей команды:
PS C : UsersAdministrator> Import-Module ActiveDirectory
В Windows Server 2012 ситуация более комфортная, т.к. этот модуль загружается
автоматически. Как только вы введете команду, которую оболочка распознает как
командлет Active Directory, модуль автоматически загрузится.
Базовые команды PowerShel для создания объектов Active Directory, подоб
ных пользователям, группам, компьютерам, организационным единицам и т.д» в
Windows Server 2012 не изменились. Таким образом, если вы создавали сценарии с
помощью Active Directory для PowerSheI 2.0, они будут также работать в Windows
Server 2012 и Windows Server 2012 R2.
ОБНОВЛЕНИЕ СПРАВОЧНЫХ ФАЙЛОВ
Перед тем, как погружаться в исследования PowerShell 3.0/4.0, мы настоятельно ре
комендуем обновить локально хранящиеся справочные файлы. Это легко делается
запуском командлета Update-Help. Он подключится к Интернету и загрузит пос
ледние справочные файлы для текущих модулей, загруженных в оболочку, и для мо
дулей, установленных в переменной среды PSModulePath. Сами справочные файлы
являются файлами САВ, содержащими ХМL-файлы, которые будут автоматически
извлечены и скопированы по соответствующему пути.
Хорошо, а как быть, если подключение к И нтернету отсуrствует? Вы можете вос
пользоваться командлетом Save-Help, в котором указывается путь для сохранения
файлов. Вы просто переносите справочные файлы на отключенный компьютер и за
пускаете команду, например, Update-Help -SourcePath С : Temp, чтобы импор
тировать их на этот компьютер с устаревшими данными.
Доступен намного больший объем информации; если вы интересуетесь этой те
мой, проследуйте по ссылке http: / /technet .microsoft . com/en-us/library/
hh849720 . aspx.
Соэдание пользователей
Давайте приступим к выполнению каких-нибудь операций по администрирова
нию пользователей. Имеет смысл сначала создать пользователя. Для этого предна
значен командлет PowerShell под названием New-ADUser:
PS C : UsersAdrninistrator> New-ADUser «Philipp Witschi»
Инструмент PowerShell содержит справку и примеры. Чтобы получить справку по
New-ADUser, введите следующую команду:
PS C: UsersAdrninistrator> Get-Help New-ADUser
Получить примеры применения командлета можно так:
PS C : UsersAdrninistrator> Get-Help New-ADUser -examples
Наконец, с помощью приведенной ниже команды можно извлечь более деталь
ные сведения о командлете:
PS C: UsersAdrninistrator> Get-Help New-ADUser -detailed
Эти команды получения справки совместимы со всеми коман.плетами, поставля
емыми модулями Microsoft в PowerShell. Есть еще несколько удобных моментов, на
которые стоит обратить внимание. Коман.плету можно указать флаг -whatif, чтобы
посмотреть, что произойдет, если он будет выполнен:
PS C : UsersAdrninistrator> New-ADUser PWitschi -whatif
What if: Performing operation «New» on Target «CN=PWitschi, CN=Users,
DC=Ьigfirm, DC=com»
В действительности ничего не делается; это всего лишь имитирует команду и
сообщает, каким был бы результат в случае запуска команды без флага -whatif.
Кроме того, можно указать на необходимость запроса подтверждения, прежде чем
выполнять команду. Это позволяет дважды обдумать набранную команду перед тем,
как ее запускать:
PS С : UsersAdministrator> New-ADUser PWitschi -confirm
Confirm
Are you sure you want to perform this action?
Performing operation «New» on Target «CN=PWitschi, CN=Users, DC=bigfirm, DC=com» .
[ У ] Yes [А] Yes to All [N] No [ L] No to All [S] Suspend [ ? ] Help
(default is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «New» на цели «CN=PWi tschi , CN=Users, DC=Ьigfirm, DC=com » .
[ У} Да [А} Да для всех [NJ Нет [L} Нет для всех [SJ Приостановить [ ?} Справка
(по умолчанию «У») :
Флаги -whatif и -confirm можно использовать во всех последующих примерах
комаНД11етов, чтобы иметь уверенность в том, что все совершаемые действия кор
ректны.
Предыдущая команда New-ADUser создает нового пользователя PWi tschi н
стандартном местоположении для новых пользователей, которым обычно являет
ся контейнер Users. Как утверждалось ранее, это не самое лучшее место для хра
нения учетных записей пользователей. Здесь содержится несколько специальных
пользователей и групп, поэтому вы должны трактовать контейнер Users как спе
циальный. Местоположением для учетных записей ваших пользователей является
BigFirmUsers. Если необходимо сконфигурировать некоторые свойства для
пользователя, можно поступить так:
PS С : UsersAdministrator> New-ADUser «Philipp Witschi»
-SamAccountName » PWitschi»
-GivenName «Philipp»
-Surname «Witschi»
-DisplayName «Philipp Witschi»
-Path ‘ OU=Users, OU=BigFirm, DC=bigfirm, DC=com ‘
-UserPrincipalName «PWitschi@bigfirm . com»
Ниже описаны флаги, указанные в команде.
-SamAccountName. Входное имя пользователя (до Windows 2000 Server). Напри
мер, выше было указано PWi tschi, поэтому пользователь сможет войти, исполь
зуя доменное имя BigFirmPWitschi.
-GivenName. Имя этого пользователя.
-surname. Фамилия этого пользователя.
-DisplayName. Данное свойство объекта пользователя хранит отображаемое имя.
-Path. Отличительное имя организационной единицы, где необходимо создать
новый объект пользователя. В этом случае указана организационная единица
BigFirmUsers в домене bigfirm. com.
-UserPrincipalName. Имя участника безопасности (UPN) — это входное имя
пользователя, имеющее похожую на адрес электронной почты форму.
Запустив приведенную выше команду, вы увидите, что в указанной организаuи
онной единице создан новый пользователь. Вы также обнаружите, что этот пользо
ватель отключен. Почему? Инструмент PowerShel требует явно указания на то, что
пользователь должен быть включен.
Зачем может понадобиться такой способ создания пользователя? Вы можете вы
полнять большой объем работ по созданию множества учетных записей Д11Я поль
зователей. Но вы не хотите, чтобы эти учетные записи были включены до того, как
связанные с ними люди окажутся готовыми использовать их. Когда этот момент на
ступит, вы можете установить уникальный пароль Д11 Я пользователя и затем вклю
чить учетную запись. PowerShell допускает подобную гибкость.
Установка паролей
Ведь вы не устанавливали пароль, не так ли? Вы и не обязаны делать это. Однако
при желании вы можете указать пароль с применением флага -AccountPassword.
Здесь есть одна загвоздка: флаг -Account Password требует ввода защищенной
строки, поэтому нельзя ввести просто Му PasswOrd. Вы должны создать защишен
ную строку до создания пользователя. Для этого сушествует много способов; ин
струмент PoweгShell весьма открыт в том, как можно решать ту или иную задачу.
Предположим, что вам нужно создать 10 объектов пользователей и установить
для них один и тот же пароль, а также включить пользователей. Кроме того, необ
ходимо заставить пользователей изменить свои пароли при первом входе в систему.
Вот как можно поступить:
PS C: UsersAdministrator> $pw = Read-Host «Please Enter The Password»
-AsSecureString
Please Enter The Password: * * * * * * * * * * * * * * * * *
Введите п а роль: * * * * * * * * * * * * * * * * *
PS С : Users Adrninistrator> New-ADUser «Phil ipp W i tschi»
-SamAc:::ountName «PWitschi» -GivenName «Philipp» -Surname «Witschi»
-DisplayName «Philipp Witschi»
-Path ‘ OU=Users, OU=BigFirm, DC=bigfirm, DC=com ‘
-UserPrincipalName «PWitschi@bigfirm. com»
-Accou�tPassword $pw -EnaЫed 1 -ChangePasswordAtLogon 1
Первая строка предлагает администратору ввести пароль. Введенный текст бу
дет преобразован в защищенную строку, которая затем сохраняется в переменной
$pw. С имвол $ указывает PoweгShell, что pw является переменной, т.е. контейне
ром, где можно сохранять значение. КоманД11ет Read-Host запросит значение. Флаг
-AsSecureString преобразует введенное вами значение в защищенную строку.
З начение переменной $pw находится в памяти данного сеанса PowerShel до тех пор,
пока либо не будет перезаписано, либо не закроется окно PowerShell.
П осле запуска команды вам преД11агается ввести пароль. Введите легкую Д11Я пе
редачи строку, которая удовлетворяет требованиям к сложности и Д11ине пароля.
В торая команда создаст пользователя. Ч тобы удовлетворить своим требованиям,
можно добавить несколько флагов.
-AccountPassword. Указывает на использование переменной $pw из предыдушей
команды. Позволяет передавать желаемый пароль Д11 Я нового пользователя в виде
защищенной строки.
-EnaЬle. П ринимает значение 1 (объект пользователя должен быть включен) или
О (объект пользователя должен быть отключен).
-ChangePasswordAtLogon. Принимает значение 1 (заставлять изменить паро.1ь)
или О (не застаолять изменить пароль).
В результате такой комбинаuии объект пользователя создается с заданным паро
лем и во включенном состоянии, к тому же пользователю придется изменить свой
пароль, когда он первый раз входит в систему.
Запускать uелых две команды только для одного пользователя выглядит расто
чительным, не правда ли? Однако с помощью этого подхода вы можете обеспечить
повторение второй команды для оставшихся девяти пользователей, которые необхо
димо создать. Все 10 пользователей получать один и тот же пароль.
Если вы хотите создать только одного пользователя, то можете сделать все в
одной команде. Этот подход задействует всю мощь PowerShel. Запуск командлета
Read-Host можно вкладывать:
PS C : UsersAdministrator> New-ADUser » Philipp Witschi»
-SamAccountName «PWitschi» -GivenName «Philipp» -Surname «Witschi»
-DisplayName «Philipp Witschi»
-Path ‘ OU=Users , OU=BigFirm, DC=bigfirm, DC�com’
-UserPrincipalName «PWitschi@bigfirm . com»
-AccountPassword (read-host » Please Enter The Password»
-AsSecureString) -EnaЫed 1 -ChangePasswordAtLogon 1
Please Enter The Password: **********
Здесь вы заменяете переменную $pw командлетом Read-Host, которая применя
лась в предыдущем подходе. Это приводит к тому, что команмет Read-Host выпол
няется перед тем, как командлет New-ADUser может быть завершен, и затем требу
емая защишенная строка передается в качестве значения флагу -AccountPassword.
Когда вы запустите данную команду, запрашивается пароль, после чего пользователь
будет создан.
создание множества пользователей за раз
Представьте, что вы работаете администратором Active Directory в университете.
Вероятно, у вас есть лес для учетных записей студентов. Ежегодно летом вы удаляете
все старые учетные записи студентов, после чего создаете новые учетные записи для
студентов, приступивших к учебе в первом семестре года. Вы имеете дело с задачей,
предполагающей создание десятков тысяч объектов пользователей. Действительно
ли вы собираетесь использовать для этого ADUC, ADAC или один из ранее пока
занных примеров PowerShell? Мы надеемся, что вы не планируете применять такие
подходы.
Выполнить эту работу, приложив весьма небольшие усилия, можно с помощью
однострочной команды PowerShell. Вам понадобится создать файл значений с раз
делителями-запятыми (comma-separated value — CSV) в Excel или в какой-то другой
программе редактирования электронных таблиu. Более сложная сеть может иметь
систему управления персоналом, которая позволяет создать такой файл через про
uесс экспорта.
Файл CSV — это текстовый файл, который содержит строку заголовков, описы
вающую значения, и последовательность строк, по одной на пользователя. Каждая
строка включает значения, которые описывают пользователя.
Ниже показано содержимое файла по имени users . csv, который можно использовать для создания трех пользователей.
NalDe
Samlccaun t
GivenName Sшnаше DisplayName Path
UserPrincipal Accoun t
Name Name Passwo:i:d
Rachel RКelly Rachel Kelly Rachel OU=Users, RKelly@
NewPasswOrd
Kelly Kelly OU=BigFirrn, Ьigfirrn. com
rx>Ьigfirrn,
OC=com
Ulrika UGerhardt Ulrika Gerhardt Ulrika OU=Users, UGerhardt@
NewPasswOrd
Gerhardt Gerhardt OU=BigFirrn, Ьigfirrn. com
OC=Ьigfirrn,
OC=com
Tomasz TKozlowski Tomasz Kozlowski Tomasz OU=Users, TKozlowski@
NewPasswOrd
Kozlowski Kozlowski OU=BigFirrn, Ьigfirrn. сот
OC=Ьigfirrn,
OC=com
Если вы откроете СSV-файл users . csv в редакторе Notepad (Блокнот), он будет
выглядеть примерно так:
Narne, SamAccountName, GivenNarne, Surnarne, DisplayNarne, Path, UserPrincipalNarne,
AccountPassword
Rachel Kelly, RKelly, Rachel, Kelly, Rachel Kelly, «OU=Users, OU=BigFirrn,
DC=Ьigfirrn, DC=corn» , RKelly@Ьigfirrn. com, NewPasswOrd
Ulrika Gerhardt, UGerhardt, Ulrika, Gerhardt, Ulrika Gerhardt, «OU=Users,
OU=BigFirrn, DC=Ьigfirrn, DC=corn» , UGerhardt@Ьigfirrn. com, NewPasswOrd
Tomasz Kozlowski, TKozlowski, Tomasz, Kozlowski, Tornaz Kozlowski,
«OU=Users, OU=BigFirm, DC=Ьigfirrn, DC=com» , TKozlowski@Ьigfirm.com,NewPasswOrd
ОБРАТИТЕ ВНИМАНИЕ НА СТРОКУ ЗАГОЛОВКОВ
В строке заголовков указаны те же самые флаги, которые применялись ранее с ко
мандлетом New-ADUser. Строки, следующие за строкой заголовков в файле CSV, со
держат значения для создания пользователей.
Теперь необходимо запустить команду, которая прочитает все строки файла с :
users . csv. Затем эта команда выполнит команДJiет New-ADUser, используя значе
ния из файла. Вот эта команда:
PS C : UsersAdrninistrator> Import-CSV c: users . csv 1 foreach
{ New-ADUser -Name $ . Name -SamAccountName $ . SamAccountName
-GivenName $ . GivenName
-Surname $ . Surname
-DisplayName $ . DisplayName
-Path $ . Path
-UserPrincipalName $ _ . UserPrincipalName
-AccountPassword (ConvertTo-SecureString -AsPlainText $ _ .AccountPassword -Force)
-EnaЫed $true
-ChangePasswordAtLogon 1 )
Пусть размер этой команды вас не пугает и не запутывает. Как только вы разо
бьете ее на компоненты, вы легко ее поймете.
Im.port-csv. Этот комаНДJiет PowerShell будет читать файл CSV, созданный ра
нее и сохраненный как С : users . csv.
1 . Это символ конвейера. Часть мощи инструмента PowerShell связана с тем, что
он предостамяет вам возможность передавать результаты выполнения одного
командлета другому командлету. В рассматриваемом случае производится чтение
файла CSY и передача находящихся в нем данных следующей части команды.
foreach. Этот командлет получает содержимое файла CSY, который читается
как три элемента, точнее — три строки данных (исключая строку заголовков).
Командлет FOREACH будет выполнять задачу с применением каждой из этих
строк в качестве параметра.
New-ADUser. Вы уже знаете, что этот командлет создает пользователя. Но как
он получает значения для своих флагов’?
$_. Каждый флаг в командлете New-User требует значения. Как вам извес
тно, значения в файле CSV указываются в соответствие со строкой заголов
ков. Каждая из записей $ в команде ссылается на один из элементов в стро
ке заголовков. Вы должны знать, что $ представляет объект в PowerShell, а
$ _ . Name — свойство Name этого объекта. Например, $
_
. Name ссылается на
заголовок Name в файле CSY. Таким образом, командлет New-ADUser получит
значение Rachel Kelly из первой строки и подставит его вместо $ _ . Name.
AccountPasword. Вы снова преобразуете пароль в защищенную строку, чтобы
удовлетворить требованиям этого флага.
Введенная команда прочитает три строки данных из файла CSV. Она загрузит
значения и создаст на их основе три объекта пользователей в организаuионной еди
ниuе, указанной в файле CSV Пользователи получат пароли, будут включенными и при первом входе должны будут изменить свои пароли.
Вы можете совершенно свободно добавлять в этот файл CSV дополнительные
столбцы, соответствующие другим флагам в команде, чтобы в дальнейшем запол
нять атрибуты объекта пользователя, такие как блуждающий профиль, домашняя
папка и т.д.
Используя такой подход, вы можете вручную или автоматически (посредством
какого-нибудь инструмента экспорта из системы управления персоналом) создать
файл CSV и затем запустить одну команду для создания множества учетных записей
для пользователей. Именно для этого предназначен инструмент PowerShell: упроще
ние выполнения работы за счет автоматизации.
Разблокирование учетной записи пользователя
Инструмент PowerShell можно также применять для выполнения более призем
ленной работы. Чтобы разбJ10кировать учетную запись пользователя, можно запус
тить следующую команду:
PS C : UsersAdministrator> Unlock-ADAccount -identity SRed
С помощью флага -identi ty указывается имя объекта пользователя, подлежа
щего разблокировке. В этом примере мы используем дружественное входное имя.
Для идентификаuии объекта пользователя может понадобиться указать имя DN:
PS C: UsersAdrninistrator> Unlock-ADAccount -identity «CN=Steve Red,
OU=Users , OU=BigFirm, DC=bigfirm, DC=com»
Сбросить пароль пользователя можно с помощью такой команды:
PS C : UsersAdrninistrator> Set-ADAccountPas sword -identity SRed -reset
-newpassword ( read-host » Please Enter The New Password»
-AsSecureString )
Please Enter The New Password : * * * * * * * * * *
В команд.лете Set-ADAccountPassword также применяется флаг -identity для
указания объекта пользователя, подлежащего управлению. Флаг -reset уведомляет
PowerShell о том, что производится не обычное изменение пароля, которое пред
полагает знание старого пароля. Вместо этого вы хотите изменить пароль, пос
кольку пользователь его попросту забыл. При этом снова используется команд.лет
Read-Host для чтения пароля и его преобразования в защищенную строку с целью
ее передачи флагу -newpassword в качестве значения.
Команд.лет Get-ADUser позволяет получить свойства объекта пользователя:
PS C : UsersAdrninistrator> Get-ADUser SRed
DistinguishedName
EnaЬled
GivenName
Name
Obj ectClass
Obj ectGUI )
SamAccountName
SID
Surname
UserPrincipalName
CN=Steve Red, OU=Users , OU=Bi gFirm, DC=bigfirm, DC=com
True
Steve
Steve Red
user
5fa7 f3ac-93ec- 4 cf8 -Ьf8 0-2 1368f8b3a8d
SRed
S-l-5-21-362588191 8-2577536232-3089104 624-1108
Red
SRed@bigfirm. com
По умолчанию он извлекает только небольшой набор доступных атрибутов. Если
uы хотите просмотреть все, что доступно в объекте пользователя, запустите команд
лет Get-ADUser с запросом всех свойств, используя шаблон *:
PS C : UsersAdrninistrator> Get-ADUser SRed -properties
* 1
Результаты, выдаваемые Get-ADUser, по конвейеру передаются команд.лету More,
поэтому их вывод приостанавливается до нажатия любой клавиши. В противном
случае результаты выводятся настолько быстро, что вы просто не успеете их про
читать. Если результаты включают намного больше атрибутов, чем вас интересует,
измените предыдущую команду, указав желаемые свойства. Но в любом случае вы
должны знать, какие свойства запрашивать, и в этом помогает шаблон *.
PS C : UsersAdrninistrator> Get-ADUser SRed -properties HomeDirectory
DistinguishedName
EnaЫed
Gi•enName
HomeDirectory
Name
Obj ectClass
Obj ectGUI D
SamAccountName
SID
Surname
UserPrincipalName
CN=Steve Red, OU=Users , OU=BigFirm, DC=Ьigfirm, JC=com
True
Steve
\DC01 home$SRed
Steve Red
user
5fa7 f3ac-93ec-4cf8-Ьf80-2 1 3 68 f8b3a8d
SRed
S-l-5-2 1-36258 8 1 9 1 8-2577536232-3089104 624-1 108
Red
SRed@Ьigfirm . com
В данном примере в стандартный вывод командлета Get-ADUser включается
также и атрибут HomeDirectory.
Можно вывести атрибуты сразу нескольких пользователей, задав какой-то кри
терий поиска:
PS C : UsersAdministrator> Get-ADUser -Filter ‘ Name -like » * » ‘
-SearchBase «OU=Users, OU=BigFirm, DC=bigfirm, DC=com»
В команде применяются два флага.
-Filter. Здесь указывается любой объект с именем, соответствующим шабло
ну *, т.е. все объекты пользователей.
-SearchВase. Здесь поиск дополнительно уточняется путем указания органи
зационной единицы BigFirmUsers в домене.
Приведенная выше команда возвращает стандартные свойства всех объектов
пользователей в организационной единице BigFirm\Jsers.
Если вы хотите модифицировать свойство объекта пользователя, воспользуйтесь
командлетом Set-ADJser:
PS C : UsersAdministrator> Set-ADUser SCorso -Description «IT Manager»
С помощью этой команды модифицируется атрибут -Description пользовате
ля SCorso. После ее выполнения описание объекта пользователя изменяется на rт
Manager. Получить список модифицируемых атрибутов можно, выполнив следую
щую команду:
PS C : UsersAdministrator> Get-Help Set-ADUser
Допускается изменять свойство большого количества объектов за один раз. В сле
дующем примере будут модифицированы все объекты в организационной единице
BigFirmUsers. С применением командлета Get-ADUser осуществляется поиск
пользователей в указанной организационной единице, а результаты передаются по
конвейеру в командлет Set-ADJser:
PS С : UsersAdministrator> Get-ADUser -Filter ‘ Name -like » * » ‘
-SearchBase «OU=Users, OlJ=BigFirm, DC=bigfirm, DC=com» 1 Set-ADUser
-Description «Member of I T »
Поиск производится точно так же, как было описано немного ранее. Найденные
объекты передаются посредством конвейера в Set-ADUser. Свойство описания всех
обнаруженных пользователей изменяется на MemЬer of IT.
включение учетной записи
Ранее упоминалось о том, что может возникнуть необходимость создать объект
пользователя, но включить его только тогда, когда сотрудник будет готов к его ис
пользованию. Вот как включить объект пользователя Philipp Witschi:
PS C : UsersAdministrator> EnaЬle-ADAccount -Identity PWitschi
отключение учетной записи
Мы уже обсуждали причины, по которым имеет смысл отключать учетные за
писи на определенное время, прежде чем окончательно удалять их. Н иже показано,
как отключить учетную запись:
PS C : UsersAdministrator> DisaЫe-ADAccount -Identity PWitschi
Наконеu, вы добрались до момента, когда хотите удалить учетную запись поль
зователя:
PS C : UsersAdministrator> Remove-ADUser -Identity PWitschi -confirm
Confirm
Are you sure you want to perform this action?
Performing operation «Remove » on Target
«CN=PW itschi, CN=Users , DC=Ьigfirm, DC=com» .
[У] Yes [А] Yes to All [ N ] No [ L] No to All [ S ] Suspend [ ? ] Help
(defaul t is «У») :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Remove » на цели
«CN=PWi tsch i , CN=Users , DC=Ьigfirm, DC=com «.
{У] Да {А] Да для всех {N] Нет [L] Нет для всех (SJ Приостановить { ?] Справка
(по умолчанию «У») :
Ради осторожности командлет Remove-ADUser запускается с флагом -confirm.
Это дает возможность обдумать последствия выполнения командлета и решить, про
должать ли данное действие. Если командлет Remove-ADUser должен быть запущен
внутри сценария, то, скорее всего, флаг -confirm указываться не будет, т.к. вряд ли
вы захотите, чтобы сценарий остановился где-то на полпути своего выполнения и
ожидал взаимодействия с ним.
На этом рассмотрение процесса управления пользователями с помощью
PowerShell завершено. М ы переходим к управлению группами. Первым делом, мы
создадим группу с применением командлета New-ADGroup. Заметили ли вы сходство
между всеми командлетами подобного рода? Это характерная черта PowerShell. Имя
командлета начинается с глагола, такого как Get, Set или New, после которого сле
дует описание действия командлета.
PS C : UsersAdministrator> New-ADGroup -Name «IT Adrninistrators»
-SamAccountName » I T Adrninistrators» -GroupCategory Security -GroupScope
DomainLocal -DisplayName » IT Administrators» -Path «OU=Security Groups ,
OU=BigFirm, DC=Ьigfirm, DC=com» -Description «MemЬers of this group are in IT»
Приведенная команда создаст локальную группу доступа домена по имени
IT Administrators в организаuионной единице BigFirmSecuri ty Groups.
Ниже описаны флаги, используемые в команде.
-Name. Имя группы.
-SamAccountName. Имя группы до Windows 2000 Server.
-GroupCategory. Может быть либо Security (или 1) для группы доступа,
либо Distribt.:tion (или О) для группы рассьUJки.
-GroupScope. Может быть либо DomainLocal (или О) для локальной группы
домена, либо Global (или 1) для глобальной группы, либо Universal (или 2)
для универсальной группы.
-DisplayName. Отображаемое имя группы.
-Path. Отличительное имя организаuионной единиuы, в которой будет распо-
лагаться группа.
-Description. Описание объекта группы для ссылки в будущем.
Имея группу, можно приступить к добавлению в нее членов. Для этого служит
командлет Add-ADGroupMemЬer. Его можно применять множеством разных спосо
бов. Мы начнем с простейшего из них:
PS C : UsersAdministrator> Add-ADGroupMemЬer «IT Administrators» -MemЬer SRed
Флаг -Identify позволяет сообщить PowerSheI, какую группу необходимо из
менить. Затем с помощью флага -MemЬer указывается добавляемый пользователь.
В приведенном выше примере объект пользователя SRed добавляется в группу до
ступа rт Administrators. Особенности начинаются, когда нужно добавить сразу
нескольких пользователей. Если вы делаете это из командной строки PowerSheI,
можете воспользоваться следующим подходом:
PS C : UsersAdrninistrator> Add-ADGroupMemЬer «IT Administrators»
cmdlet Add-ADGroupMemЬer at command pipeline position 1
Supply values for the following parameters :
MemЬers [ O ] : SCorso
MemЬers [ l ] :MZehner
MemЬers [ 2 ] :
В этом случае вы указываете в команде управляемую группу, но не список новых
членов. В результате PowerShel начинает запрашивать члены по одному. Вы указы
ваете имя пользователя SCorso как члена О, имя пользователя MZetшer как члена 1 ,
после чего в ответ на запрос очередного пользователя нажимаете клавишу ,
чтобы завершить команду. Введенные вами пользователи добавляются в группу.
В качестве альтернативы можно применить другой подход:
PS C: UsersAdrninistrator> Add-ADGroupMemЬer » IT Adrninistrators»
-MemЬer SCorso, MZehner
Разделителем между именами объектов пользователей, подлежащих добавлению
в группу IT Administrators, служит запятая.
Может понадобиться добавить в группу очень большое число пользователей. Для
этого используются результаты поиска, генерируемые командлетом Get-ADUser:
PS C : UsersAdrninistrator> Add-ADGroupMemЬer «IT Adrninistrators» -Member
(Get-ADUser -Filter ‘ Name -like » * » ‘
-SearchBase «OU=Users, OU=BigFirm, DC=Ьigfirm, DC=com» )
В показанной команде присутствует вложен ны й запрос Get-ADUser, кото
рый при менялся ранее при управлении пользователями с помощью PowerShell.
Вложенный командлет Get-ADUser выступает в качестве значения для флага
-MemЬer командлета Add-ADGroupMemЬer. Командлет Get-ADUser находит всех
пользователей в организационной единице BigFirmUsers. Обнаруженные в ре
зультате поиска пользователи добавляются в группу IT Administrators.
Вспомните, что вы не ограничены добавлением в группу Active Directory только
пользователей. Можно также добавлять другие группы, делая их вложенными:
PS C: UsersAdrninistrator> Add-ADGroupMemЬer » IT Adrninistrators» «Helpdesk»
Эта команда добавит группу Helpdesk в группу IT Administrators.
Часто возникает потребность в получении списка членов той или иной группы.
В следуюшей простой команде используется командлет Get-ADGr·oupMember для
вывода списка членов группы IT Administrators:
PS C : UsersAdministrator> Get-ADGroupMernЬer «IT Administrators»
distinguishedName : CN=Helpdesk,OU=Security Groups,OU=BigFirm, DC=Ьigfirm, DC=com
name Helpdesk
obj ectClass group
objectGUID 93e9b2lb-023a-4e46-88b5-3c4cbf71f218
SamAccountName
SID
Helpdesk
S-1-5-21-3625881918-2577536232-3089104624-1115
distinguishedName : CN=Steve Red, OU=Users, OU=BigFirrn, DC=Ыgfirm, DC=corn
narne Steve Red
obj ectClass user
obj ectGUID 5fa7f3ac-93ec-4cf8-bf80-21368f8b3a8d
SamAccountNarne
SID
SRed
S-1-5-21-3625881918-2577536232-3089104624-1108
Команда возвращает все непосредственные члены данной группы, но не чле
ны вложенных в нее групп. Такой список не особенно полезен в качестве отчета.
Инструмент PowerShell позволяет указывать, какие атрибуты возвращаемых объек
тов должны отображаться:
PS С : UsersAdministrator> Get-ADGroupMernЬer «IT Administrators» 1
FT ObjectClass, Name
ObjectClass
group
user
Narne
Helpdesk
Steve Red
Результаты выполнения командлета Get-ADGroupMember по конвейеру пе
редаются в командлет FT, который представляет собой псевдоним командлета
Format-TaЬle. Это дает возможность указывать свойства или атрибуты, которые
должны присутствовать в списке.
АВТОМАТИЧЕСКАЯ ПОДГОНКА СТОЛБЦОВ
Вполне возможно, что при запуске команды с множеством свойств она будет отобра
жаться в окне командной строки некорректно, т.е. выглядеть так, как будто столбцы
имеют неправильные размеры. Чтобы решить эту проблему, добавьте в конец коман
ды ключ -auto. Как вам известно, в PowerSheU не всегда нужно указывать имя фла
га полностью. Например, ключ -auto обозначает флаг -AutoSize, который инс
труктирует командпет FT о том, что ширина столбцов должна быть автоматически
подогнана с учетом содержимого. Команда будет выглядеть следующим образом:
PS C : UsersAdministrator> Get-ADGroupMember «IT Administrators»
-recursi ve 1 FT
-auto
В предыдущем примере запрашиваются свойства ObjectClass и Name. В резуль
тате получается удобный отчет с объектами, являющимися непосредственными чле
нами группы IT Administrators.
Тем не менее, если группа содержит в качестве членов другие группы, понадо
бится полный рекурсивный список членов:
PS С : Users Administrator> Get-ADGroupMember » I T Administrators »
-recursive 1 FT DistinguishedName
Di stinguishedName
CN=Steve Red, OU=Users , OU=BigFirm, DC=bigfirm, DC=com
CN=Kevin Greene , OU=Users , OU=BigFi rm, DC=bigfirm, DC=com
CN=Marcel Zehner, OU=Users , OU=BigFi r�, DC=bigfirm, DC=com
50 1
К командпету добавляется флаг -Recurs i ve, а его результаты через конвейер
передаются командпету FT или Format-TaЫe для получения отличительных имен
всех объектов, которые имеют членство в группе IT Administrators.
Следующей операцией, которая может потребоваться, является удаление членов
из группы. Для этого применяется командпет Remove-ADGroupMerrber:
PS C : Users Administrator> Remove-ADGroupMemЬer «IT Administrators»
-MemЬer SRed
Confi rm
Are you sure you want to perform this action?
Performing operation «Set» on Target «CN=IT Administrators , OU=Security
Groups, OU=BigFirm, DC=bigfirm, DC=com» .
[У] Yes [А] Yes to All [ N ] No [ L ] No to All [ S ] Suspend [ ? ] Help
(de fault is «У » ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Se t » на цели «CN=IT Administra tors , OU=Securi ty
Groups , OU=Bi gFi rm , DC=Ьigfi rm , DC=com » .
[ У] Да [А] Да для всех [N] Нет [L] Нет для всех [S) Приостановить [ ?] Справка
(по умолчанию «У») :
Здесь вы инициируете удаление пользователя SRed из группы IT Administrators.
Командпет Remove-ADGroupMember всегда .запрашивает подтверждение действия.
В ответ на запрос подтверждения можно вводить несколько вариантов.
Yes (Да). Продолжить удаление указанного пользователя из группы.
Yes to All (Да для всех). Используйте этот вариант, если вы затребовали уда
ление нескольких членов из группы и уверены, что хотите удалить их все.
No (Нет). Не удалять указанного пользователя из группы.
L (Нет для всех). Отказаться от всех операций удаления, запрошенных в ко
манде.
s (Приостановить). Приостановить выполнение операции. Произойдет возврат
в режим командной строки. Возобновить выполнение команды до этого мо
мента можно, введя Exi t.
Следующая команда удалит несколько пользователей, перечисленных через
запятые:
PS С : Users Administrator> Remove-ADGroupMemЬer -Icientity » IT
Administrators » -Member SCorso, SRed
Confirm
Are you sure you want to perform this action?
Performing operation «Set » on Target «CN=IT P.dministrators , OU=Security
Groups, OU=BigFirm, DC=Ьigfirm, DC=com» .
[У] Yes [А] Yes to All [N] No [L] No to All [S] Suspend [ ? ] Help
(default is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие?
Выполнение операции «Set » на цели «CN=IT Administra tors , OU=Securi ty
Groups, OU=BigFirm, DC=Ьigfirm, DC=com «.
[ У] Да {А] Да для всех [NJ Нет [L] Нет для всех [SJ Приостановить [ ?] Справка
(по умолчанию «У») :
Имена пользователей scorso и SRed разделены запятой. Подобным образом
можно добавлять множество пользователей или даже групп.
Может понадобиться удалить множество пользователей или групп, используя
результаты поиска какого-то вида. В приведенном ниже примере с помощью ко
мандлета Get-ADUser находятся все пользователи в организационной единице
BigFirrnUsers и удаляются из группы IT Administrators:
PS C : UsersAdrninistrator> Remove-ADGroupMember «IT Adrninistrators»
-Member (Get-ADUser -Filter ‘ Narne -like » * » ‘
-SearchBase «OU=Users, OU=BigFirm, DC=Ьigfirm, DC=com»)
Confirm
Are you sure you want to perform this action?
Performing operation «Set» on Target «CN=IT Adrninistrators, OU=Security
Groups , OU=Bigfirm, DC=Ьigfirm, DC=com» .
[У] Yes [А] Yes to All [NJ No [LJ No to All [SJ Suspend [ ? ] Help
(default is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Set» на цели «CN=IT Administra tors, OU=Securi ty
Groups , OU=BigFirm, DC=Ьigfirm ,DC=com » .
[ У] Да [А] Да для всех [N] Нет [L] Нет для всех [S] Приостановить [ ?] Справка
(по умолчанию «У») :
Как видите, значение для флага -MernЬer не указывается. Вместо этого вы ис
пользуете вложенный командлет Get-ADUser. Он находит всех пользователей, под
лежащих удалению, и результат передается командлету Remove-ADGroupMernЬer.
Если вы подтвердите выполнение действия, все пользователи в организационной
единице BigFirrnUsers будут удалены из группы IT Administrators.
Здесь имеется похожее затруднение, как во время применения такого же подхода
с запросом при добавлении пользователей в группу. Если любой из результирующих
объектов вложенного запроса Get-ADOser не является членом указанной группы,
потерпит неудачу вся операция Rernove-ADGroupMember. Таким образом, если вы
запросите всех пользователей в организационной единице BigFirmUsers и один
из них не находится в данный момент внутри группы rт Adrninistrators, то опе
рация удаления завершится неудачей.
Возможно, необходимо удалить всех членов из группы. Для этого потребует
ся запросить члены группы и вложить эту команду в команду удаления членов из
группы:
PS C: UsersAdministrator> Remove-ADGroupMember «IT Adrninistrators»
-MemЬer (Get-ADGroupMember «IT Administrators» )
Confirm
Are you sure you want to perform this action?
Performing operation «Set» on Target «CN=IT Adrninistrators, OU=Security
Groups, OU=BigFirm, DC=bigfirm, DC=com» .
[У] Yes [А] Yes to All [N] No [L] No to All [S] Suspend [ ? ] Help
(defaul t is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Se t » на цели «CN=IT Adminis tra tors , OU=Securi ty
Groups , OU=BigFirm , DC=bigf irm, DC=com «.
{У] Да {А] Да для всех {N] Нет {L] Нет для всех {S] Приостановить { ?] Справка
(по умолчанию «У») :
С помощью командлета Get-ADGroupMember извлекаются все члены группы
IT Administrators. Данный запрос вложен в команду Remove-ADGroupMemЬer и
возвратит результаты как значение мя флага -MemЬer команды.
Это дает много способов мя создания группы, используя PowerShel, добавления
в нее членов, запрашивания членства и удаления членов. Осталось только взглянуть
на то, как удалять группу.
Удаление группы
Удаление группы — очень простая задача. Необходимо запустить командлет
Remove-ADGroup и указать имя группы:
PS С: UsersAdrninistra’:or> Remove-ADGroup «IT Adrninistrators»
Confirm
Are you sure you want to perform this action?
Performing operation «Remove» on Target «CN=IT
Aciministrators, OU=Security
Groups, OU=BigFirm, DC=bigfirm, DC=com» .
[У] Yes [А] Yes to All [NJ No [LJ No to All [SJ Suspend ( ? ] Help
(default is «У» ) :
Лодтверж.пение
Вы уверены, что хотите выполнить это действие?
Выполнение операции «Remove » на цели «CN=IT Administra tors , OU=Securi ty
Groups , OU=BigFirm , DC=Ьigfirm, DC=com » .
[У] Да [А] Да для всех [N] Нет [L] Нет для всех {S] Приостановить { ?] Справка
(по умолчанию «У») :
Здесь удаляется группа IT Administrators. При этом не имеет значения, со
держит ли группа какие-то члены или нет — она будет удалена. Убедитесь, что эта
группа больше не нужна. Не забывайте, что вы не сможете просто воссоздать группу
и тем самым восстановить все назначенные разрешения, поскольку идентификатор
SID, присвоенный старой группе, является глобально уникальным.
Наконец, раздел, посвященный модулю Active Directory для Windows PowerShell,
завершен. Поначалу этот модуль казался сложным в применении. Конечно, в не
больших средах использование PowerShell может не дать ощутимых преимуществ,
но это, чему вы должны научиться. В средах среднего размера вы обнаружите, что
применение PowerShel обеспечит более быстрое получение результатов. В крупных
средах вы сочтете PowerShell средством, с помощью которого появляется возмож
ность выполнять сложные операции очень быстро и с минимальными усилиями.
Практическая
работа №2
ДОБАВЛЕНИЕ
НОВОГО ПОЛЬЗОВАТЕЛЯ
Теперь
нам нужно добавить новых пользователей
в наш домен, ниже я покажу, как создать
новое подразделение и добавить в него
пользователя, после чего можно присоединить
компьютер к домену и войти в домен под
новым пользователем.
1.
Для начала работы запустите оснастку
“Пользователи и компьютеры Active Directory”
(Пуск -> Панель управления ->
Администрирование -> Пользователи и
компьютеры Active Directory)
2.
Выделите название домена и вызовите
контекстное меню, в котором выбираете
(Создать -> Подразделение). После чего
вводим имя для подразделения, а так же
можем снять защиту контейнера от
случайного удаления, эту опцию я оставил
включённой. Нажимаем “OK”.
Подразделения
служат для того что бы удобно управлять
группами компьютеров пользователей и
т.д. Например: можно разбить пользователей
по группам с именами подразделений
соответствующих именам отделов компании,
в которой они работают (Бухгалтерия,
отдел кадров, менеджеры и т.д.)
3.
Теперь создадим нового пользователя в
контейнере. Выделяем контейнер
“Пользователи”, вызываем контекстное
меню и выбираем в нём (Создать ->
Пользователь). Заполняем поля имя и
фамилия, в полях имя входа пользователя
указываем логин пользователя, под
которым он будет заходить в домен.
Логин может содержать
точки, например: Ivan.Ivanov
Нажмите
кнопку “Далее”, задайте пароль для
пользователя (пароль должен соответствовать
политике безопасности Windows), так же
доступны четыре опции для изменения
-
Требовать
смены пароля пользователя при следующем
входе в систему – при входе пользователя
в ваш домен ему будет предложено сменить
пароль. -
Запретить
смену пароля пользователем – отключает
возможность смены пароля пользователем -
Срок
действия пароля не ограничен – пароль
можно не менять сколь угодно долго -
Отключить
учётную запись – делает учётную запись
пользователя не активной
Нажмите
“Далее”, затем нажмите “Готово”.
4.
Выделите созданного пользователя и в
контекстном меню выберите “Свойства”.
Перейдите на вкладку “Учётная запись”
и поставьте галку напротив “Разблокировать
учётную запись”, после чего нажмите
“Применить”, затем «OK».
ВВОД
КОМПЬЮТЕРА В ДОМЕН
После
проделанных манипуляций мы создали
новое подразделение “Пользователи”
и добавили в него нового пользователя
“Иван Иванов” с логином “Ivan.Ivanov”.Давайте
теперь введём компьютер в наш домен и
попробуем залогиниться под новым
пользователем. Для этого на компьютере
пользователя делаем следующие:
1. Укажем на клиентском
компьютере DNS-адрес. Для этого открывает
“Свойства сетевого подключения” (Пуск
–> Панель управления –> Центр
управления сетями и общим доступом ->
Изменить параметры адаптера), вызываем
контекстное меню подключения и нажимаем
«Свойства». После чего выделяем
“Протокол Интернета версии 4 (TCP/IPv4)”,
нажимаем “Свойства”, выбираем
“Использовать следующие адреса
DNS-серверов” и в поле “Предпочитаемый
DNS -сервер” указываем адрес вашего
DNS-сервера.
2. Открываем “Свойства
системы” (Пуск -> Панель управления
-> Система -> Изменить параметры),
нажимаем кнопку “Изменить»
3.
Выберете “Компьютер является членом
домена” и введите имя домена. Нажмите
“OK”, после чего введите имя пользователя
и пароль созданного вами пользователя,
нажмите “OK” после чего выскочит
приветствие “Добро пожаловать в домен”.
Подтверждаем “OK” и видим предупреждение,
что компьютер необходимо перезагрузить,
жмём “OK” потом “Закрыть” затем
“Перезагрузить сейчас”.
|
|
4.
После того как клиентская машина будет
перезагружена, вводим в поле «Пользователь»
имя домена/Ivan.Ivanov в поле пароль указываем
пароль от учётной записи пользователя.
Нажимаем “Войти”.
Соседние файлы в предмете Операционные системы
- #
- #
- #
- #
- #
- #
Ниже будет подробно рассказано о том, как добавить нового пользователя на локальный компьютер под управлением Microsoft Windows Server 2012 R2.
0. Оглавление
- Добавление пользователя
- Изменение настроек пользователя
1. Добавление пользователя
Запускаем оснастку «Управление компьютером» (Computer Management). Сделать это можно кликнув правой кнопкой мыши по меню «Пуск» (Start) и выбрав в меню «Управление компьютером» (Computer Management).
Или же выполнив команду compmgmt.msc. (Нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) ввести команду в поле «Открыть» (Open) и нажать «ОК«)
В открывшемся окне раскрываем вкладку «Служебные программы» (System Tools), затем «Локальные пользователи» (Local Users and Groups) и выделив вкладку «Пользователи» (Users) выбираем «Новый пользователь…» (New User…) в меню «Действие» (Action).
Откроется окно создания нового пользователя (New User). Впишем имя пользователя (имя, которое будет использоваться для входа в систему) в графе «Пользователь» (User name), полное имя (будет показываться на экране приветствия) в поле «Полное имя» (Full name) и описание учетной записи в поле «Описание» (Description). Затем дважды введем пароль для создаваемого пользователя. По умолчанию пароль должен отвечать политики надежности паролей. О том как изменить данную политику читайте в статье Изменение политики паролей в Windows Server 2012 R2.
Рекомендую сразу записать введенный пароль в отведенное для хранение паролей место. Для этих целей удобно использовать специальные менеджеры паролей, например бесплатную программу KeePass.
Далее снимем флаг «Требовать смены пароля при следующем входе в систему» (User must change password at next logon) если требуется оставить введенный только что пароль. В противном случае пользователю придется сменить пароль при первом входе в систему.
Установим флаг «Запретить смену пароля пользователем» (User cannot change password) если хотим лишить пользователя данного права.
Установим флаг «Срок действия пароля не ограничен» (Password never expires) если нет необходимости в периодической смене паролей.
Флаг «Отключить учетную запись» (Account is disabled) отвечает за возможность входа пользователя в систему. Оставляем неизменным.
Нажимаем «Создать» (Create) чтобы создать нового пользователя системы.
2. Изменение настроек пользователя
Добавленного только что пользователя мы найдем в таблице пользователей системы на вкладке «Пользователи» (Users) оснастки «Управление компьютером» (Computer Management). Для того чтобы изменить настройки пользователя, необходимо в таблице кликнуть по нему правой кнопкой мыши и в контекстном меню выбрать пункт «Свойства» (Properties).
Откроется окно свойств выбранного пользователя. Пробежимся по наиболее часто используемым настройкам.
На вкладке «Общие» (General) можно изменить параметры, которые мы задавали при добавлении пользователя.
На вкладке «Членство в группах» (Member of) можно увидеть участником каких групп является данный пользователь. Кроме того, здесь можно добавить пользователя в группу или удалить его из выбранной группы.
Например, чтобы сделать пользователя администратором сервера, его необходимо добавить в группу «Администраторы» (Administrators). Для этого нажмем кнопку «Добавить…» (Add…), находящуюся под списком групп, в открывшемся окне выбора группы нажмем «Дополнительно…» (Advanced…) и затем кнопку «Поиск» (Find Now) в окне подбора групп. Выделим необходимую группу в таблице результатов поиска (в нашем случае это группа «Администраторы» (Administrators)) и завершим выбор нажав «ОК» во всех открытых окнах.
На вкладке «Профиль» (Profile) можно задать путь к профилю пользователя (Profile Path), сценарий входа (Logon script), а также подключить сетевой диск, который будет автоматически подключаться при входе пользователя в систему. Для этого установим переключатель «Домашняя папка» (Home folder) в «Подключить:» (Connect:), выберем букву сетевого диска и укажем путь к ресурсу, где будут располагаться файлы. Это может быть локальный путь к папке или сетевой ресурс.
На вкладке «Среда» (Environment) возможно указать программу, которая будет запускаться автоматически при входе пользователя через службу удаленных рабочих столов. В этом режиме работы другие программы и рабочий стол пользователю будут недоступны.
Также здесь можно разрешить/запретить подключение дисков клиента при входе (Connect client drivers at logon), подключение принтеров клиента при входе (Connect client printers at logon) и переопределить основной принтер клиента (Default to main client printer) при работе через удаленных рабочий стол, установив/сняв соответствующие флаги на форме.
На вкладке «Сеансы» (Sessions) можно установить параметры тайм-аута и повторного подключения при работе через службу удаленных рабочих столов.
Вкладка «Удаленное управление» (Remote control) используется для настройки параметров удаленного управления сеансом пользователя при работе через службу удаленных рабочих столов.
В этой статье я хотел бы рассказать об установке и настройке роли ActiveDirectory на компьютере под управлением Windows Server 2012. После установки роли Active Directory на нём настраивается контроллер домена, после чего с помощью этого сервера можно будет централизованно управлять сетевой инфраструктурой. С помощью групповых политик домена, вы сможете управлять пользователями вашей сети (открывать или блокировать им доступ к определённым ресурсам сети, хранить данные о каждом пользователе, такие как Ф.И.О, адреса, телефоны, почту и многое другое). Так же вы сможете развёртывать приложения на всех или только на группе компьютеров входящих в ваш домен.
Подготовка
Для начала давайте подготовим Windows Server 2012 к установке роли Active Directory (далее AD). Нам необходимо сделать две вещи:
- Задать осмысленное имя компьютеру.
Для этого откроем “свойства системы”, нажимаем (Пуск -> Панель управления –> Система) после чего жмём “Изменить параметры”. Далее в “свойствах системы” на вкладке “Имя компьютера” нажимаем кнопку “Изменить” после чего в поле “Имя компьютера” задаём компьютеру имя и нажимаем “OK”. Нам покажут предупреждение, что компьютер необходимо перезагрузить, жмём “OK”. В “Свойствах системы” нажимаем “Закрыть” после чего нам предлагают перезагрузить компьютер прямо сейчас или сделать это позже, выбираем первый вариант и компьютер перезагружается.
В этом примере я задал компьютеру имя Server.
- Задать статический IP адрес и маску подсети сетевому адаптеру конечно если ваш сетевой адаптер не получает настройки по DHCP.
Открываем “свойства сетевого подключения” (Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменить параметры адаптера), далее вызываем контекстное меню сетевого подключения и нажимаем “свойства”. Далее на вкладке “Сеть” выделяем “Протокол интернета версии 4 (TCP/IPv4)” и нажимаем “свойства”. Задаём IP адрес и маску подсети, после чего нажимаем “OK” а затем “Закрыть”. На этом подготовку компьютера к установке роли AD можно считать законченной.
В этом примере я задал следующие параметры, IP адрес: 192.168.0.1 маска подсети: 255.255.255.0
Установка роли
После того как компьютер будет подготовлен приступаем к установке роли AD на компьютер. Для этого откроем “Диспетчер сервера” (Пуск -> Диспетчер сервера). Выберем “Добавить роли и компоненты” тем самым запустив “Мастер добавления ролей и компонентов”, в этот статье я кратко опишу добавление ролиAD на сервер, т.к. роли добавляются одинаково, подробную установку вы можете прочитать в моих прошлых статьях про установку роли NAT и DHCP.
1. На первом этапе мастер напоминает, что необходимо сделать перед началом добавления роли на сервер, нажимаем ”Далее”.
2. На втором шаге выбираем “Установка ролей и компонентов” и нажимаем “Далее”.
3. Выбираем сервер, на который мы установим роль AD и снова нажимаем ” Далее ”.
4. На этом шаге нам нужно выбрать роль, которую мы хотим добавить на компьютер, отмечаем галочкой “Доменные службы Active Directory”, после чего нам предлагают добавить «службы ролей или компоненты» необходимые для установки роли AD, нажимаем кнопку “Добавить компоненты” после чего жмём “Далее”.
5. На следующем шаге нам предлагают выбрать компоненты, просто жмём “Далее”
6. Попадаем на описание роли “Доменных служб Active Directory”. Читаем описание роли и пункт “на что обратить внимание” после чего нажимаем “Далее”
7. На этом шаге нам показывают, что будет добавлено на сервер, проверяем, если всё верно нажимаем “Установить”.
8. После того как установка будет завершена нажимает “Закрыть”
Настройка доменных служб Active Directory
После того как роль была добавлена на сервер, необходимо настроить доменную службу, для этого запустим “Мастер настройки доменных служб Active Directory” (нажмите на иконку “уведомления” в “диспетчере сервера” после чего нажмите “Повысить роль этого сервера до уровня контроллера домена”)
1. Выберете пункт “Добавить новый лес”, после этого впишите имя домена в поле “Имя корневого домена” и нажмите “Далее”
2. На этом шаге мы можем изменить совместимость режима работы леса и корневого домена. В моём примере я оставляю эти настройки по умолчанию (в режиме работы “Windows Server 2012 RC”). Так же мы может отключить возможность DNS-сервера, я оставил эту настройку включенной. В низу нам необходимо задать пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога), задаём пароль и нажимаем “Далее”
3. На этом шаге мастер предупреждает нас о том, что делегирование для этого DNS-сервера создано не было, нажимаем “Далее”.
4. Здесь мы можем изменить NetBIOS имя, которое было присвоено нашему домену, изменяем, если требуется и нажимаем “Далее”.
5. Теперь мы можем изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба Active Directory), файлам журнала, а так же папке SYSVOL. Если требуется, измените, пути расположения каталогов и нажимайте «Далее».
6. В этом шаге, можно проверить какие параметры мы выбрали, так же мы можем посмотреть “Сценарий Windows PowerShell для развертывания AD DS ”. Нажимаем “Далее”.
7. Мастер проверит, соблюдены ли предварительные требования, после чего покажет нам отчёт. Одно из обязательных требований, это установленный пароль на профиль локального администратора. В самом низу мы может прочитать предупреждение мастера о том что после того как будет нажата кнопка “Установить” уровень сервера будет повышен до контроллера домена, после чего произойдёт автоматическая перезагрузка. Нажимаем “Установить”.
8. После того как установка будет закончена, компьютер перезагрузится, вы совершите первый ввод компьютера в ваш домен. Для этого введите логин и пароль администратора домена и нажмите “Войти”.
Добавление нового пользователя
Теперь нам нужно добавить новых пользователей в наш домен, ниже я покажу, как создать новое подразделение и добавить в него пользователя, после чего можно присоединить компьютер к домену и войти в домен под новым пользователем.
1. Для начала работы запустите оснастку “Пользователи и компьютеры Active Directory” (Пуск -> Панель управления -> Администрирование -> Пользователи и компьютеры Active Directory)
2. Выделите название домена и вызовите контекстное меню, в котором выбираете (Создать -> Подразделение). После чего вводим имя для подразделения, а так же можем снять защиту контейнера от случайного удаления, эту опцию я оставил включённой. Нажимаем “OK”.
Подразделения служат для того что бы удобно управлять группами компьютеров пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компании, в которой они работают (Бухгалтерия, отдел кадров, менеджеры и т.д.)
3. Теперь создадим нового пользователя в контейнере. Выделяем контейнер “Пользователи”, вызываем контекстное меню и выбираем в нём (Создать -> Пользователь). Заполняем поля имя и фамилия, в полях имя входа пользователя указываем логин пользователя, под которым он будет заходить в домен.
Логин может содержать точки, например: Ivan.Ivanov
Нажмите кнопку “Далее”, задайте пароль для пользователя (пароль должен соответствовать политике безопасности Windows), так же доступны четыре опции для изменения
- Требовать смены пароля пользователя при следующем входе в систему – при входе пользователя в ваш домен ему будет предложено сменить пароль.
- Запретить смену пароля пользователем – отключает возможность смены пароля пользователем
- Срок действия пароля не ограничен – пароль можно не менять сколь угодно долго
- Отключить учётную запись – делает учётную запись пользователя не активной
Нажмите “Далее”, затем нажмите “Готово”.
4. Выделите созданного пользователя и в контекстном меню выберите “Свойства”. Перейдите на вкладку “Учётная запись” и поставьте галку напротив “Разблокировать учётную запись”, после чего нажмите “Применить”, затем «OK».
Ввод компьютера в домен
После проделанных манипуляций мы создали новое подразделение “Пользователи” и добавили в него нового пользователя “Иван Иванов” с логином “Ivan.Ivanov”.Давайте теперь введём компьютер в наш домен и попробуем залогиниться под новым пользователем. Для этого на компьютере пользователя делаем следующие:
1. Укажем на клиентском компьютере DNS-адрес. Для этого открывает “Свойства сетевого подключения” (Пуск –> Панель управления –> Центр управления сетями и общим доступом -> Изменить параметры адаптера), вызываем контекстное меню подключения и нажимаем «Свойства». После чего выделяем “Протокол Интернета версии 4 (TCP/IPv4)”, нажимаем “Свойства”, выбираем “Использовать следующие адреса DNS-серверов” и в поле “Предпочитаемый DNS -сервер” указываем адрес вашего DNS-сервера.
2. Открываем “Свойства системы” (Пуск -> Панель управления -> Система -> Изменить параметры), нажимаем кнопку “Изменить»
3. Выберете “Компьютер является членом домена” и введите имя домена. Нажмите “OK”, после чего введите имя пользователя и пароль созданного вами пользователя, нажмите “OK” после чего выскочит приветствие “Добро пожаловать в домен”. Подтверждаем “OK” и видим предупреждение, что компьютер необходимо перезагрузить, жмём “OK” потом “Закрыть” затем “Перезагрузить сейчас”.
4. После того как клиентская машина будет перезагружена, вводим в поле «Пользователь» имя домена/Ivan.Ivanov в поле пароль указываем пароль от учётной записи пользователя. Нажимаем “Войти”.
Заключение
В этой статье была описана установка роли доменных служб Active Directory, развёртка домена, создание подразделения и добавление нового пользователя. А так же ввод компьютера в домен.
Добрый день.
Появилось задание, суть которого описана в сабже. Вот моя заметка, скажу сразу, что она почти целиком переписана с этого сайта: тыц за что спасибо большое автору.
1. Немного теории
Active Directory (далее AD) — служба каталогов корпорации Microsoft для ОС семейства WindowsNT. AD позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать ПО на множестве компьютеров через групповые политики посредством System Center Configuration Manager, устанавливать и обновлять ОС. AD хранит данные и настройки среды в централизованной базе данных. Сети AD могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
2. Подготовка
Что бы установить роль AD нам необходимо:
1) Задать адекватное имя компьютеру
Открываем Пуск -> Панель управления -> Система, слева жмем на «Изменить параметры«. В «Свойствах системы» на вкладке «Имя компьютера» нажимаем кнопку «Изменить» и в поле «Имя компьютера» вводим имя (я ввел ADserver) и жмем «ОК«. Появится предупреждение о необходимости перезагрузки системы, что бы изменения вступили в силу, соглашаемся нажав «ОК«. В «Свойствах системы» жмем «Закрыть» и соглашаемся на перезагрузку.
2) Задать настройки сети
Открываем Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменить параметры адаптера. После нажатия правой кнопкой на подключении выбираем пункт «Свойства» из контекстного меню. На вкладке «Сеть» выделяем «Протокол интернета версии 4 (TCP/IPv4)» и жмем «Свойства«.
Я задал:
IP-адрес: 192.168.10.252
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.10.1
Предпочтительный DNS-сервер: 127.0.0.1 (так как тут будет располагаться локальный DNS-сервер)
Альтернативный DNS-сервер: 192.168.10.1
Именно такие настройки потому, что эта машина у меня в сети за vyatta, я описывал настройки в прошлой заметке: тыц.
После чего жмем «ОК» и «Закрыть«.
Подготовка закончилась, теперь преступим к установке роли.
3. Установки роли
Для установки роли AD на компьютер откроем Пуск -> Диспетчер сервера. Выберем «Добавить роли и компоненты«.
После чего запустится «Мастер добавления ролей и компонентов«.
3.1 На первом этапе мастер напоминает, что нужно сделать перед началом добавления роли на компьютер, просто нажимаем «Далее«.
3.2 Теперь выбираем «Установка ролей и компонентов» и жмем «Далее«.
3.3 Выберем компьютер, на котором хотим установить роль AD и опять «Далее«.
3.4 Теперь нужно выбрать какую роль мы хотим установить, выбираем «Доменные службы Active Directory» и нам предложат установить необходимые компоненты и службы ролей для роли AD соглашаемся нажав «Добавить компоненты» и опять «Далее«.
3.5 Тут предложат установить компоненты, но нам они пока не нужны, так что просто жмем «Далее«.
3.6 Теперь нам выведут описание роли «Доменных служб Active Directory«. Прочитаем внимательно и жмем «Далее«.
3.7 Мы увидим, что же именно мы будем ставить на сервер, если все хорошо, то жмем «Установить«.
3.8 После установки просто жмем «Закрыть«.
4. Настройка доменных служб Active Directory
Теперь настроим доменную службу запустив «Мастер настройки доменных служб Active Directory» (жмем на иконку «Уведомления» (флажок) в «Диспетчере сервера» и после этого выбираем «Повысить роль этого сервера до уровня контроллера домена«).
4.1 Выбираем «Добавить новый лес» и вписываем наш домен в поле «Имя корневого домена» (я решил взять стандартный домен для таких случаев test.local) и жмем «Далее«.
4.2 В данном меню можно задать совместимость режима работы леса и корневого домена. Так как у меня все с нуля я оставлю по умолчанию (в режиме работы «Windows Server 2012«). А еще можно отключить DNS-сервер, но я решил оставить это, так как хочу иметь свой локальный DNS-сервер. И еще необходимо задать пароль DSRM (Directory Service Restore Mode — режим восстановления службы каталога), задаем пароль и тыкаем «Далее«.
4.3 На данном этапе мастер настройки предупреждает нас, что домен test.local нам не делегирован, ну это и логично, нам ни кто его не давал, он будет существовать только в нашей сети, так, что жмем просто «Далее«.
4.4 Можно изменить NetBIOS имя, которое было автоматически присвоено, я не буду этого делать, так, что жмем «Далее«.
4.5 Тут можем изменить пути к каталогам базы данных AD DS (Active Directory Domain Services — доменная служба AD), файлам журнала, а так же каталогу SYSVOL. Не вижу смысла в изменении, так что просто жмем «Далее«.
4.6 Теперь мы видим небольшой итог, какие настройки мы выбрали.
Тут же, нажав на кнопку «Просмотреть сценарий» мы можем увидеть PowerShell сценарий для развертывания AD DS выглядит он примерно так:
Жмем «Далее«.
4.7 Мастер проверит соблюдены ли предварительные требования, видим несколько замечаний, но они для нас не критичны, так что жмем кнопку «Установить«.
4.8 После завершения установки, компьютер перезагрузится.
5. Добавление нового пользователя
5.1 Запустим Пуск -> Панель управления -> Администрирование -> Пользователи и компьютеры Active Directory. Или через панель управления сервером:
5.2 Выделяем название домена (test.local), нажимаем правой кнопкой и выбираем «Создать» -> «Подразделение«.
После чего вводим имя подразделения, а так же можем снять защиту контейнера от случайного удаления. Нажимаем «ОК«.
Подразделения служат для того, что бы удобно управлять группами компьютеров, пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компаний, в которой они работают (Бухгалтерия, ИТ, отдел кадров, менеджеры и т.д.)
5.3 Теперь создадим пользователя в подразделении «Пользователи«. Правой кнопкой на подразделение и выбираем в нем «Создать» -> «Пользователь«. И заполняем основные данные: Имя, Фамилия, логин.
Жмем «Далее«.
Теперь зададим пароль, для пользователя. Так же тут можно задать такие вещи как:
— Требовать смены пароля пользователя при следующем входе в систему — при входе пользователя в наш домен, ему будет предложено сменить пароль.
— Запретить смену пароля пользователем — отключает возможность смены пароля пользователем.
— Срок действия пароля не ограничен — пароль можно не менять сколько угодно.
— Отключить учетную запись — делает учетную запись пользователя не активной.
Жмем «Далее«.
И теперь «Готово«.
5.4 Выделим созданного пользователя и в контекстном меню выберем «Свойства«. На вкладке «Учетная запись» ставим галочку напротив «Разблокировать учетную запись«, после чего нажимаем «Применить«, затем «ОК«.
6. Ввод компьютера в домен
6.1 Для начала, создадим новую виртуальную машину с Windows 7 на борту. Зададим ему настройки сети, где:
IP-address: 192.168.10.101
Subnet mask: 255.255.255.0
Default gateway: 192.168.10.1 (vyatta, где настроен NAT из мой прошлой заметки)
Preferred DNS server: 192.168.10.252 (AD сервер, который мы настраивали выше)
Alternate DNS server: 192.168.10.1 (опять vyatta, так как он проксирует DNS запросы на Google DNS сервер 8.8.8.8)
6.2 Переходим в Start -> правой кнопкой на Computer -> Properties -> Change settings. Жмем кнопку Change напротив The rename this computer or change its domain or workgrup, click Change. Зададим имя компьютера и введем имя домена: test.local и жмем «ОК«.
Введем логин и пароль заново.
После успешного добавления в домен увидим сообщение:
Появится сообщение о необходимости перезагрузки компьютера.
6.3 После перезагрузки компьютера увидим сообщение о логине в систему. Жмем Switch User.
Нажмем на Other User.
И введем логин и пароль.
Вот мы и залогинились как пользователь домена.
Время прочтения
6 мин
Просмотры 283K
Всем добрый день. Хотелось бы рассказать о установке и конфигурировании Windows Server 2012 R2 Essentials. Эта статья не является призывом к повсеместной установке Windows или пропагандой продуктов Microsoft. Хотелось бы просто рассказать об интересном продукте и возможно кого-то данный продукт заинтересует и пригодится в работе. Статью я старался писать для неподготовленного читателя, поэтому минимум терминологии и максимум обобщения некоторых понятий.
Немножко о редакции Essentials
Windows Server 2012 R2 Essentials – это одна из редакция серверной операционной системы от компании Microsoft. Однако имеет множество отличий от редакций Standard и Datacenter. Что же умеет Essentials:
- Авторизация и аутентификация пользователей вашей сети (домен контроллер службы каталогов Active Directory)
- Файловое хранилище (роль файлового сервера)
- Удаленный доступ к корпоративной сети (VPN и DirectAccess сервер)
- Удаленный доступ к файловому хранилищу через Web-интерфейс (настроенный для этого IIS)
- Удаленный доступ к рабочем столам клиентских машин (шлюз удаленных рабочих столов)
- Резервное копирование клиентских машин (windows backup)
- Резервное копирование самого сервера (windows backup)
- Интеграция с облачными технологиями Microsoft (Office 365, Azure backup и т.д.)
- Консоль единой настройки Essentials, которая позволит настроить возможности описанные выше даже не подготовленному системному администратору.
Если обобщить, то редакция Essentials имеет большинство ролей Windows Server. Некоторые из этих ролей настроены, некоторые доступны в полном объеме, некоторые как например Hyper-V с серьезными ограничениями. Компенсацией за эти все ограничения является более низкая цена, включенных 25 клиентских лицензий, централизованная и простая настройка. Хочу так же отметить, что процесс лицензирования серьезно отличается. Вы можете использовать эту редакцию только для организаций, где число пользователей не превышает 25. Но повторюсь вам не нужно приобретать какие-либо клиентские лицензии.
Таким образом Essentials очень хорошо подходит для малых организаций, которые бы хотели пользоваться большинством современных решений для обеспечения безопасности корпоративной сети, хранения документов, удаленного доступа, возможно, почтовые системы. Для тех организаций, которые не хотели бы тратить много денег как на саму ИТ инфраструктуру, так и на работу высококвалифицированных системных администраторов.
Установка и первоначальная настройка
Установка данной ОС вполне стандартная процедура. Если вы хоть раз устанавливали Windows Vista /7/8/8.1, то вы без проблем установите и Essentials. Однако, если вы не устанавливали ни вышеперечисленных ОС ни любую из последних версий серверных ОС, то я рекомендую или довериться профессионалу или как минимум студенту второкурснику.
Единственное, что я бы рекомендовал в момент установки, если у вас один жёсткий диск, разбить его на два раздела. Т.е. сделать так чтобы после установки в системе был второй уже отформатированный жесткий диск. Безусловно это только рекомендация, вы сможете подготовить второй диск в последующем, однако придется переносить некоторые папки.
После первого входа в свежеустановленную ОС запустится мастер «Настройка Windows Server Essentials», который поможет произвести первоначальную настройку.
На первом шаге вам необходимо задать настройки даты и времени.
На втором шаге вам необходимо заполнить на английском языке название компании. Имя домена и имя сервера будут в таком случая сгенерированы автоматически, хотя конечно вы можете поменять их.
На следующем шаге вам необходимо заполнить имя администратора и задать его пароль.
На последнем шаге необходимо указать способ обновления операционной системы и нажать настроить
После этого запустится процесс, который произведет все необходимые первоначальные настройки. Это займет около 30 минут и потребует несколько перезагрузок. За это время ОС успеет в частности установить необходимые роли и настроить сервер в качестве домен контроллера для нового домена.
Настройка
Продукт весьма большой и обширный, я хотел бы рассказать о самых базовых возможностях настройки, такие как создание пользователей, настройка удаленного доступа, создание папок, подключение клиентов.
Вся настройка происходит в панели мониторинга, доступ к ней есть с рабочего стола, панели быстрого запуска и стартового экрана.
Создание пользователей
При первом запуске данной панели вам откроется вкладка установка, на которой можно выполнить ряд задач по настройке сервера.
Я начну с добавления пользователей. Щелкаем ссылку для добавления учетных записей.
Заполняем поля формы и нажимаем далее
Выбираем уровень доступа к общим папкам, которые были созданы. На начальном этапе существует лишь одна – Организация. В дальнейшем вы можете менять разрешения на доступ как из свойств пользователя, так и из свойств папки.
Далее устанавливаем, что будет доступно для пользователя удаленно. Про удаленный доступ расскажу чуть позже.
Учетная запись создана. Жмем закрыть.
Подобным образом можно создать множество учетных записей. Безусловно, Вы можете пользоваться и привычным и знакомым для вас интерфейсом Active Directory Users and Computers, но в таком случае выдавать разрешения на доступ вам придется ручками.
Добавление папок сервера
Для добавление папок существует другой мастер, который поможет и создать папку на диске, и общий доступ для нее настроить, и разрешения выдать. Для его запуска необходимо щелкнуть соответствующую ссылку в панели мониторинга.
В открывшемся окне мастера вводим название. Можно изменить расположение и добавить описание. Нажимаем далее.
На следующей странице указываем необходимые разрешения. При необходимости делаем ее недоступной при удаленном доступе.
С последнего шага данного мастера можно запустить мастер настройки архивации. Нажимаем закрыть.
Настройка удаленного доступа
Один, наверное, из самых сложных этапов настройки Windows Server 2012R2 Essentials. Настройка так же происходит с помощью мастера. Мастер традиционно запускается из панели мониторинга.
Первое что Вам необходимо настроить это ваш маршрутизатор – об этом Вам сообщает мастер. На самом деле Вам необходимо настроить перенаправление портов на маршрутизаторе. Для этого у маршрутизатора должен быть «белый» IP адрес. А на самом сервере лучше настроить статический IP адрес. Перенаправить нужно следующие порты 80, 443, 1723, 987 на IP адрес вашего сервера. В общем то процедуру настройки может выполнить и сам мастер, если ваш маршрутизатор поддерживает UPnP. Я делал настройку ручками, поэтому пропустил данный шаг.
После этого открывается новый мастер настройки доменного имени. Нажимаем далее.
Мастер предложит ввести имя внешнего домена или создать новый. Для собственного домена Вам понадобится сертификат, поэтому рассмотрим тут вариант настройки с использованием домена Microsoft. Выбираем другое имя домена и щелкаем далее.
Рассмотрим вариант с доменом компании Microsoft.
Тут попросит авторизоваться в Microsoft Account.
После авторизации принимаем заявление о конфиденциальности.
Вводим имя домена и проверяем доступность, жмем настроить.
Ну что с именем домена разобрались. Продолжаем — далее.
Выбираем какие именно возможности будут доступны.
Выбираем будет ли доступен удаленный доступ для текущих пользователей.
Ну вот и все можете попробовать зайти на сайт wiseguy.remoteweaccess.com.
C данного веб сайта есть возможность доступа к общим папкам и доступ к рабочим столам пользователей.
Подключение рабочих станций
Если мы и на этот раз откроем панель мониторинга и перейдем на страницу подключение компьютеров, то увидим там лишь инструкцию к действию
Следуя инструкции на клиенте в браузере открываем страничку http://<Имя сервера>/connect. Нажимаем ссылку для скачивания.
Выбираем выполнить.
Принимаем лицензию и ждем.
Вводим имя пользователя и пароль пользователя данного компьютера или администратора. Я вводил учетку пользователя.
Перезагружаем сервер.
Выбираем, кто будет пользоваться компьютером.
Вводим описание компьютера.
Параметры архивации.
Ура! Готово.
Заходим на компьютер под учетной записью пользователя.
Можно работать. На рабочем столе уже есть все необходимые ярлыки.
Post scriptum
Безусловно Windows Server 2012R2 Essentials – это не панацея. Автоматизировано в ней многое, но не все. Тем не менее для малых организаций, это весьма интересное решение и его необходимо рассмотреть. В этой статье я рассказал лишь о самых базовых настройках Essentials. Если вы желаете чуть ближе познакомиться с продуктом, вы можете посмотреть мои видеодоклады на сайте Techdays.ru .
Windows Server 2012 R2 Essentials первый взгляд: www.techdays.ru/videos/7351.html — тут можно внимательно изучить процесс инсталляции Essentials.
Windows Server 2012 R2 Essentials настройка: www.techdays.ru/videos/7370.html — рассмотрены настройка всех возможностей, показана настройка удаленного доступа для своего домена.
Windows Server 2012 R2 Essentials интеграция Office 365: www.techdays.ru/videos/7380.html — интеграция с облачным офисом от Microsoft.
Комментарии и вопросы приветствуются.
Windows Server 2012 R2 — решение для организации единой инфраструктуры в компании любого размера. WS также применяют для аутентификации и идентификации пользователей. Рассмотрим начало работы с Windows Server 2012 R2: установку, настройку и добавление новых пользователей для удаленного доступа.
Установка Windows Server 2012 R2 на VDS
На хороших хостингах установить Windows Server можно в автоматическом режиме при создании нового VDS. Посмотрим, как это работает, на примере Timeweb.
-
Открываем панель управления VDS.
-
Переходим в раздел «Список VDS».
-
Нажимаем на кнопку «Создать сервер».
-
Указываем любое имя и комментарий (опционально).
-
Выбираем в списке операционных систем Windows Server 2012 R2.
-
Настраиваем конфигурацию сервера: количество ядер процессора, объем оперативной памяти (минимум 512 МБ) и размер хранилища (минимум 32 ГБ).
-
Включаем защиту от DDoS, если она требуется.
-
Нажимаем на кнопку «Создать сервер».
Лицензия уже входит в итоговую стоимость сервера. При создании VDS система будет установлена и активирована. Хостер отправит на почту данные для авторизации на сервере, чтобы вы могли его настроить.
Если на хостинге нет автоматической установки Windows Server, то придется инсталлировать систему вручную. Для этого нужно купить лицензию и скачать ISO-образ WS 2012 R2.
Для установки системы из ISO-образа обычно используется панель VMmanager. Порядок ручной инсталляции такой:
-
Запускаем VMmanager.
-
Открываем раздел «Виртуальные машины» в меню слева.
-
Останавливаем VDS, на который будем устанавливать WS 2012 R2.
-
Кликаем на кнопку «Диски» на верхней панели.
-
Выбираем пункт «ISO» на верхней панели.
-
В строке «Имя образа» выбираем дистрибутив Windows Server, указываем шину «IDE» и порядок загрузки «В начало».
-
Возвращаемся в раздел «Диски виртуальной машины» и ставим шину IDE для виртуального диска.
-
Жмем на кнопку «Интерфейсы» на верхней панели.
-
Выбираем интерфейс и нажимаем на кнопку «Изменить».
-
Далее – интерфейс «rtl8139». Это нужно для автоматической установки сетевого адаптера.
-
Возвращаемся в раздел «Виртуальные машины» и запускаем VDS, которую мы остановили на втором шаге.
-
Переходим в консоль VNC — на верхней панели есть соответствующая кнопка.
В VNC-консоли запустится установка Windows Server 2012 R2. Если вы ставили любую другую версию ОС от Майкрософт, то без проблем здесь разберетесь.
-
Нажимаем на кнопку «Установить».
-
Вводим лицензионный ключ для активации системы.
-
Выбираем установку с графическим интерфейсом — так будет проще разобраться с настройками.
-
Принимаем лицензионное соглашение.
-
Запускаем выборочную установку.
-
Выбираем диск и при необходимости делим его на части.
-
Ждем, пока скопируются файлы.
-
Придумываем пароль администратора.
-
Ожидаем завершения установки.
Ручная установка занимает заметно больше времени и требует опыта в администрировании. Автоматическая же инсталляция намного быстрее и проще.
Защита от DDoS + CDN в подарок при заказе VDS Timeweb
Обезопасьте свой проект и ускорьте его работу: при заказе любого тарифа вы получаете защиту от DDoS + CDN на 3 месяца бесплатно. Сообщите в поддержку промокод community3.
Заказать
Условия использования промокода
Настройка Windows Server 2012 R2
Сразу после установки рекомендуется установить обновления.
-
Открываем «Панель управления».
-
Переходим в раздел «Система и безопасность».
-
Открываем «Центр обновления».
-
Запускаем поиск и установку апдейтов.
Система установлена, обновления есть — теперь приступаем к настройке базовых параметров.
Первый шаг — изменение имени, чтобы было удобно настраивать подключения.
-
Открываем раздел «Панель управления» — «Система и безопасность» — «Система».
-
Нажимаем на ссылку «Изменить параметры».
-
В появившемся окне на вкладке «Имя компьютера» нажимаем на кнопку «Изменить».
-
В строке «Имя компьютера» указываем имя сервера, которое будет удобно использовать для настройки подключений. Например, WServer.
-
Перезагружаем машину для применения параметров.
Следующий шаг — проверка IP-адреса, по которому будет доступен сервер.
-
Открываем поисковую строку и вводим запрос «ncpa.cpl» и нажимаем на Enter.
-
Находим основной сетевой адаптер, кликаем по нему правой кнопкой и открываем «Свойства».
-
Выделяем «Протокол интернета версии 4» и нажимаем на кнопку «Свойства».
-
Прописываем IP-адрес, маску сети, шлюз по умолчанию, адреса DNS-серверов.
Теперь нужно добавить роли и компоненты.
-
Запускаем «Диспетчер серверов».
-
В «Панели мониторинга» нажимаем «Добавить роли и компоненты».
-
Выбираем тип установки «Установка ролей или компонентов».
-
На вкладке «Выбор сервера» выделяем свой VDS.
Выбираем из списка стандартные роли, которые подходят для решения большинства задач. Если вам нужны другие роли, отметьте их тоже.
-
DHCP-сервер
-
DNS-сервер
-
Веб-сервер (IIS)
-
Доменные службы Active Directory
-
Сервер приложений
-
Службы политики сети и доступа
-
Службы активации корпоративных лицензий
-
Службы удаленных рабочих столов
-
Удаленный доступ
-
Файловые службы и хранилища
На вкладке «Компоненты» оставляем стандартные отметки. Единственное возможное изменение — включение службы беспроводной локальной сети.
На вкладке «Службы ролей» отмечаем роли, необходимые для работы с удаленными рабочими столами.
-
Лицензирование удаленных рабочих столов
-
Узел виртуализации удаленных рабочих столов
-
Узел сеансов удаленных рабочих столов
-
Шлюз удаленных рабочих столов
В службах ролей удаленного доступа можно также отметить работу с VPN и прокси, если есть такая необходимость.
Доходим до вкладки «Подтверждение». Отмечаем опцию «Автоматический перезапуск конечного сервера, если требуется». Нажимаем на кнопку «Установить» и ждем завершения инсталляции.
После установки нужно все настроить. Начнем с DNS.
Настройка DNS
-
Открываем «Диспетчер серверов».
-
Жмемна флажок на верхней панели.
-
Кликаем на опцию «Повысить роль этого сервера до контроллера домена».
В конфигурации развертывания выбираем режим «Добавить новый лес» и придумываем корневой домен. Название может быть любым — например, domain.com.
На вкладке «Параметры контроллера» указываем новый пароль и нажимаем «Далее». Затем доходим до вкладки «Проверка предварительных требований». Если параметры установлены верно, то в окне будет сообщение о том, что все проверки готовности к установке выставлены успешно. Нажимаем на кнопку «Установить».
После завершения инсталляции перезагружаем сервер и авторизируемся под именем администратора.
После перезагрузки продолжаем настройку DNS.
-
Открываем «Диспетчер серверов».
-
Переходим в меню «Средства» на верхней панели и выбираем пункт «DNS».
-
В диспетчере DNS разворачиваем ветку DNS — Server — «Зоны обратного просмотра». Кликаем правой кнопкой мыши и выбираем пункт «Создать новую зону».
-
Выбираем тип зоны «Основная» и отмечаем пункт «Сохранять зону в Active Directory».
-
Выбираем режим «Для всех DNS-серверов, работающих на контроллерах домена в этом домене».
-
Отмечаем зону обратного просмотра IPv4.
-
В строке «Идентификатор сети» выбираем диапазон IP-адресов или имя зоны.
-
На следующем шаге разрешаем безопасные динамические обновления.
-
Жмем «Готово» для применения конфигурации.
Настройка DHCP
Следующий шаг — настройка DHCP. Это нужно для того, чтобы сервер мог раздавать диапазон IP.
-
Открываем «Диспетчер серверов».
-
Нажимаем на флажок и выбираем пункт «Завершение настройки DHCP».
-
В разделе «Авторизация» отмечаем пункт «Использовать учетные данные следующего пользователя» и нажимаем на кнопку «Фиксировать».
-
В разделе «Сводка» нажимаем «Закрыть».
-
Открываем меню «Средства» на верхней панели и выбираем пункт «DHCP».
-
Разворачиваем ветку DHCP — «Имя домена» — IPv4. Кликаем по IPv4 правой кнопкой и выбираем пункт «Создать область».
-
Задаем любое название области.
-
Прописываем диапазон IP-адресов, которые будет раздавать сервер. Он задается по желанию пользователя.
-
В следующем окне исключаем определенный диапазон адресов. Этот шаг можно пропустить.
-
Задаем срок действия IP-адреса для устройства. По истечении указанного периода адрес изменится.
-
Отмечаем пункт «Да, настроить эти параметры сейчас».
-
Добавляем IP-адрес маршрутизатора или пропускаем этот шаг.
-
Указываем имя домена в качестве родительского домена.
-
Подтверждаем, что хотим активировать область сейчас.
-
Нажимаем «Готово» для сохранения конфигурации.
Настройка сервера для подключения по RDP
Чтобы к VDS можно было подключаться по RDP, должны быть установлены следующие роли и компоненты:
-
Службы удаленных рабочих столов.
-
Лицензирование удаленных рабочих столов
-
Узел сеансов удаленных рабочих столов
-
Шлюз удаленных рабочих столов
Все эти роли и компоненты мы установили в предыдущем разделе. Теперь нужно настроить групповую политику.
-
Открываем «Поиск» на панели инструментов.
-
Находим и открываем редактор групповых политик — gpedit.msc.
-
Переходим на ветку «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Узел сеансов удаленных рабочих столов» — «Лицензирование».
-
Разворачиваем пункт «Использовать указанные серверы лицензирования удаленных рабочих столов».
-
В строке «Использовать серверы лицензий» указываем имя или адрес своего сервера.
-
Возвращаемся обратно в раздел «Лицензирование» и открываем пункт «Задать режим лицензирования».
-
Выбираем режим лицензирования — на пользователя или на устройство в зависимости от того, какой тип лицензии имеется.
После настройки групповых политик переходим к самому лицензированию.
-
Открываем «Панель управления».
-
Переходим в раздел «Администрирование» — Remote Desktop Services — «Диспетчер лицензирования».
-
Кликаем по серверу правой кнопкой и нажимаем «Активировать».
-
Выбираем метод подключения «Авто».
-
Вводим имя, фамилию, организацию, страну расположения сервера. Можно указать любые данные, они не проверяются.
-
Запускаем мастер установки лицензий.
-
Выбираем программу лицензирования, по которой была приобретена лицензия.
-
Вводим ключ активации, который получили после покупки лицензии.
-
Указываем количество пользователей/устройств, если оно не определилось автоматически.
-
Нажимаем «Готово», чтобы завершить работу мастера установки лицензий.
Затем нужно вернуться в раздел «Администрирование» — Remote Desktop Services — «Диспетчер лицензирования» и посмотреть, активирован ли сервер. Если да, значит, настройка успешно завершена.
На иконке сервера может быть желтый значок предупреждения. Чтобы устранить проблемы, нажимаем на ссылку «Рецензия». В меню будут пункты, которые необходимо отметить.
Добавление пользователей для подключения через RDP
После успешного лицензирования добавляем первого пользователя для подключения через RDP.
-
Открываем «Диспетчер серверов».
-
Раскрываем меню «Средства», выбираем пункт «Пользователи и компьютеры Active Directory».
-
Разворачиваем раздел «Пользователи и компьютеры».
-
Кликаем правой кнопкой по своему домену и выбираем пункт «Создать» — «Подразделение».
-
Задаем имя подразделения — например, «Пользователи».
-
Кликаем правой кнопкой по созданному подразделению и выбираем пункт «Создать» — «Пользователь».
-
В карточке пользователя задаем параметры: имя, фамилию, имя на латинице для авторизации.
-
Указываем пароль и настраиваем его параметры — например, можно запретить смену пароля пользователем и сделать срок действия неограниченным.
-
Нажимаем «Готово» для сохранения конфигурации.
Аналогичным образом добавляются другие пользователи, которые могут удаленно подключаться к серверу с Windows Server 2012.
Базовая настройка Windows Server 2012 R2 завершена.