Основы работы с Active Directory: часть вторая — основные инструменты администрирования

Итак, продолжаем тему Active Directory.

В предыдущей статье мы бегло рассмотрели процесс установки компонентов Active Directory, далее предлагаю рассмотреть основные процедуры управления данной системой каталогов.

Дисклеймер: в данной теме я не очень силен, поэтому, просьба не воспринимать все нижеописанное как догму, это скорее для ознакомления. Короче говоря — сильно не пинайте :)

Для лучшего понимания принципов управления Active Directory, рассмотрим совсем немного теории.

Active Directory имеет древовидную иерархическую структуру, основу которой составляют объекты. Из 3-х типов объектов, нас, в первую очередь, интересуют учетные записи пользователей и компьютеров.

Данный тип объектов включает несколько, так называемых классов (за терминологию не ручаюсь): Organizational Unit (OU, контейнер, подразделение), Group (группа), Computer (компьютер), User (пользователь).

Некоторые из них (например OU или группа) могут содержать в себе другие объекты.

Каждый из объектов имеет свое уникальное имя и набор правил и разрешений (групповых политик).

Соответственно, администрирование на данном уровне сводится к управлению деревом объектов (OU, группа, пользователь, компьютер) и управлению их политиками. Основные GUI инструменты для управления AD, находятся в Start -> Administrative Tools :

ad-tools-01

Сегодня больше поговорим об управлении объектами, а о групповых политиках я постараюсь рассказать в следующий четверг.

Для управления объектами, лично я использую старую добрую оснастку «Active Directory Users and Computers«.

Здесь по-умолчанию мы увидим в корне стандартные контейнеры, которые создаются во время установки:

ad-tools-03

В контейнере «Users» видим единственного активного пользователя «Administrator» и стандартные группы, у каждой из которых свои политики и разрешения:

ad-tools-15

Что бы добавить нового администратора, нам понадобится создать пользователя и добавить его в группу «Domain Admins«.

Дабы не переливать из пустого в порожнее, рассмотрим несколько банальных примеров.

В своем свежеиспеченном Active Directory я создал новый контейнер (Organizational Unit) с названием TestOU.

Для небольшой инфраструктуры необязательно создавать новые OU, можно все складывать в дефолтные контейнеры в корне, но когда вы захотите разделить большую инфраструктуру, это становится просто необходимо.

Так вот, создадим в нашем OU нового пользователя домена (правой кнопкой по OU -> New -> User).

В появившемся окошке заполняем имя/фамилию, имя пользователя для входа в систему:

ad-tools-04

Задаем первоначальный пароль и отмечаем галочками необходимые политики:

ad-tools-05

В моем случае, при первом входе в систему, система попросит пользователя в добровольно-принудительном порядке задать новый пароль.

Проверяем и нажимаем финиш:

ad-tools-06

Если посмотреть на свойства пользователя домена, то можно увидеть там много интересных настроек:

ad-tools-13

Теперь добавим пользователя в ранее созданную группу. Правой по юзеру -> Add to Group:

ad-tools-07

пишем имя группы и нажимаем «Check Names» что бы проверить все ли правильно мы написали, затем нажимаем OK.

Далее я создал еще одну группу с именем TestGroup_NEW:

ad-tools-08

и добавил ее в группу TestGroup, таким образом, у нас получилась группа в группе :)

Заглянув в свойства группы, мы кроме всего прочего, можем посмотреть кто в ней состоит:

ad-tools-09

В общем, все это и так интуитивно понятно и просто, но для полноты картины лишним не будет.

Ну с пользователями и группами, в принципе все ясно, теперь посмотрим на администрирование учетных записей компьютеров.

В концепции Active Directory, учетная запись компьютера представляет собой запись в контейнере, которая содержит информацию об имени компьютера, его ID, информацию об операционной системе и пр., и служит для возможности управления компьютерами, подключенными к домену и применения к ним разного рода политик.

Учетные записи компьютеров могут быть созданы как заранее вручную, так и автоматически, при введении компьютера в домен.

Ну с автоматическим вариантом все понятно: мы под учеткой доменного администратора вводим компьютер в домен и его (компьютера) учетная запись автоматически создается в контейнере по-умолчанию — Computers.

С созданием вручную все немного по-другому, рассмотрим пример, когда это может быть полезно.

Например, нам нужно предоставить право на введение в домен компьютера пользователем, который не является администратором домена (у меня часто такое случается).

Или, например, если при выполнении автоматизированного клонирования виртуальных машин, компьютеры в домен вводятся с помощью скриптов и должны складываться в определенный контейнер, можно создать готовые учетные записи в нужном контейнере и предоставить право на введение их в домен, конкретному пользователю.

Рассмотрим процесс создания учетной записи компьютера на примере с картинками. Правой кнопкой на нужном контейнере — > New -> Computer :

ad-tools-10

Выбираем пользователя, который будет владельцем учетки:

ad-tools-11

Нажимаем ОК-ОК и получаем готовую учетную запись компьютера.

ad-tools-14

Если заглянем в ее свойства, то увидим что она чистая, т.к. не содержит информации о конкретном компьютере:

ad-tools-12

Учетные записи, группы и контейнеры можно перемещать между другими контейнерами, при этом, нужно помнить, что на дочерние объекты распространяются доменные политики родительских объектов.

Мы рассмотрели инструмент «Active Directory Users and Computers«, но это не единственный возможный вариант администрирования объектов. В Windows Server 2008R2 для этих же целей можно использовать «Active Directory Administrative Center» :

ad-tools-02

На картинке видим как оно выглядит. По функционалу много не скажу, но на первый взгляд — это тот же самый «Users and Computers» в немного другой оболочке. Возможно (даже скорее всего), он будет более удобен, для повседневного использования, дело привычки.

Кроме стандартного функционала «Active Directory Users and Computers» типа, создание/удаление/изменение пользователей/групп/подразделений/компьютеров, здесь реализован продвинутый функционал фильтров для удобного поиска объектов и управления ими.

Еще один, наиболее хардкорный и, наверное, наиболее функциональный способ администрирования Active Directory  — «Active Directory Module for Windows PowerShell«. Скажу честно — ни разу не пользовался, хватало функциональности графических утилит. Командная строка это хорошо, но боюсь, что придется потратить много времени на изучение ее функционала, тут уж на любителя :)

На сегодня все. Продолжение следует ;)

Основы работы с Active Directory: часть вторая — основные инструменты администрирования: 12 комментариев

  1. Germanyto

    Спасибо, а можно более подробнее про действия выполняемые с Active Directory и практические методы администрирования Win серверов.

    1. Доктор Добрянский Автор записи

      По AD планирую написать еще 1-2 статьи для полноты картины, но если честно — не знаю когда :( Времени катастрофически не хватает, полностью погружен в проекты и изучение технологий виртуализации и Cloud систем…

  2. Germanyto

    Зайдем с другой стороны. Как предыстория скажу, что на новом месте работы от меня в теории могут понадобится эти знания. Не посоветуете литературу?

    1. Доктор Добрянский Автор записи

      Возможно я покажусь занудой, если скажу что лучшая литература — это официальная документация :) Все остальное (включая мои статьи) — это «художественная» литература, которая полезна для более просто усвоения информации но не более :) могу много поумничать и подискутировать на эту тему но не стану, а то щас как понесет….)))) Дабы не быть голословным — вот, для примера, ссылка по теме. Удачи!

  3. Уведомление: Nandrolone Decanoate kaufen Deutschland

  4. Уведомление: rénover et aménager salle de bain

  5. Уведомление: Caco-2 cell line

  6. Уведомление: Anabole steroide kaufen Deutschland

  7. note

    Have you ever considered about including a little bit more than just your articles?
    I mean, what you say is valuable and everything. However just imagine if you added some great pictures or video clips to give
    your posts more, «pop»! Your content is excellent but
    with pics and videos, this blog could definitely be one
    of the best in its niche. Amazing blog!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Не робот ли ты часом? * Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.