Итак, продолжаем тему Active Directory.
В предыдущей статье мы бегло рассмотрели процесс установки компонентов Active Directory, далее предлагаю рассмотреть основные процедуры управления данной системой каталогов.
Дисклеймер: в данной теме я не очень силен, поэтому, просьба не воспринимать все нижеописанное как догму, это скорее для ознакомления. Короче говоря — сильно не пинайте :)
Для лучшего понимания принципов управления Active Directory, рассмотрим совсем немного теории.
Active Directory имеет древовидную иерархическую структуру, основу которой составляют объекты. Из 3-х типов объектов, нас, в первую очередь, интересуют учетные записи пользователей и компьютеров.
Данный тип объектов включает несколько, так называемых классов (за терминологию не ручаюсь): Organizational Unit (OU, контейнер, подразделение), Group (группа), Computer (компьютер), User (пользователь).
Некоторые из них (например OU или группа) могут содержать в себе другие объекты.
Каждый из объектов имеет свое уникальное имя и набор правил и разрешений (групповых политик).
Соответственно, администрирование на данном уровне сводится к управлению деревом объектов (OU, группа, пользователь, компьютер) и управлению их политиками. Основные GUI инструменты для управления AD, находятся в Start -> Administrative Tools :
Сегодня больше поговорим об управлении объектами, а о групповых политиках я постараюсь рассказать в следующий четверг.
Для управления объектами, лично я использую старую добрую оснастку «Active Directory Users and Computers«.
Здесь по-умолчанию мы увидим в корне стандартные контейнеры, которые создаются во время установки:
В контейнере «Users» видим единственного активного пользователя «Administrator» и стандартные группы, у каждой из которых свои политики и разрешения:
Что бы добавить нового администратора, нам понадобится создать пользователя и добавить его в группу «Domain Admins«.
Дабы не переливать из пустого в порожнее, рассмотрим несколько банальных примеров.
В своем свежеиспеченном Active Directory я создал новый контейнер (Organizational Unit) с названием TestOU.
Для небольшой инфраструктуры необязательно создавать новые OU, можно все складывать в дефолтные контейнеры в корне, но когда вы захотите разделить большую инфраструктуру, это становится просто необходимо.
Так вот, создадим в нашем OU нового пользователя домена (правой кнопкой по OU -> New -> User).
В появившемся окошке заполняем имя/фамилию, имя пользователя для входа в систему:
Задаем первоначальный пароль и отмечаем галочками необходимые политики:
В моем случае, при первом входе в систему, система попросит пользователя в добровольно-принудительном порядке задать новый пароль.
Проверяем и нажимаем финиш:
Если посмотреть на свойства пользователя домена, то можно увидеть там много интересных настроек:
Теперь добавим пользователя в ранее созданную группу. Правой по юзеру -> Add to Group:
пишем имя группы и нажимаем «Check Names» что бы проверить все ли правильно мы написали, затем нажимаем OK.
Далее я создал еще одну группу с именем TestGroup_NEW:
и добавил ее в группу TestGroup, таким образом, у нас получилась группа в группе :)
Заглянув в свойства группы, мы кроме всего прочего, можем посмотреть кто в ней состоит:
В общем, все это и так интуитивно понятно и просто, но для полноты картины лишним не будет.
Ну с пользователями и группами, в принципе все ясно, теперь посмотрим на администрирование учетных записей компьютеров.
В концепции Active Directory, учетная запись компьютера представляет собой запись в контейнере, которая содержит информацию об имени компьютера, его ID, информацию об операционной системе и пр., и служит для возможности управления компьютерами, подключенными к домену и применения к ним разного рода политик.
Учетные записи компьютеров могут быть созданы как заранее вручную, так и автоматически, при введении компьютера в домен.
Ну с автоматическим вариантом все понятно: мы под учеткой доменного администратора вводим компьютер в домен и его (компьютера) учетная запись автоматически создается в контейнере по-умолчанию — Computers.
С созданием вручную все немного по-другому, рассмотрим пример, когда это может быть полезно.
Например, нам нужно предоставить право на введение в домен компьютера пользователем, который не является администратором домена (у меня часто такое случается).
Или, например, если при выполнении автоматизированного клонирования виртуальных машин, компьютеры в домен вводятся с помощью скриптов и должны складываться в определенный контейнер, можно создать готовые учетные записи в нужном контейнере и предоставить право на введение их в домен, конкретному пользователю.
Рассмотрим процесс создания учетной записи компьютера на примере с картинками. Правой кнопкой на нужном контейнере — > New -> Computer :
Выбираем пользователя, который будет владельцем учетки:
Нажимаем ОК-ОК и получаем готовую учетную запись компьютера.
Если заглянем в ее свойства, то увидим что она чистая, т.к. не содержит информации о конкретном компьютере:
Учетные записи, группы и контейнеры можно перемещать между другими контейнерами, при этом, нужно помнить, что на дочерние объекты распространяются доменные политики родительских объектов.
Мы рассмотрели инструмент «Active Directory Users and Computers«, но это не единственный возможный вариант администрирования объектов. В Windows Server 2008R2 для этих же целей можно использовать «Active Directory Administrative Center» :
На картинке видим как оно выглядит. По функционалу много не скажу, но на первый взгляд — это тот же самый «Users and Computers» в немного другой оболочке. Возможно (даже скорее всего), он будет более удобен, для повседневного использования, дело привычки.
Кроме стандартного функционала «Active Directory Users and Computers» типа, создание/удаление/изменение пользователей/групп/подразделений/компьютеров, здесь реализован продвинутый функционал фильтров для удобного поиска объектов и управления ими.
Еще один, наиболее хардкорный и, наверное, наиболее функциональный способ администрирования Active Directory — «Active Directory Module for Windows PowerShell«. Скажу честно — ни разу не пользовался, хватало функциональности графических утилит. Командная строка это хорошо, но боюсь, что придется потратить много времени на изучение ее функционала, тут уж на любителя :)
На сегодня все. Продолжение следует ;)
А стоит вообще то задumatco…
Hi, nice article. I really like it!
Спасибо, а можно более подробнее про действия выполняемые с Active Directory и практические методы администрирования Win серверов.
По AD планирую написать еще 1-2 статьи для полноты картины, но если честно — не знаю когда :( Времени катастрофически не хватает, полностью погружен в проекты и изучение технологий виртуализации и Cloud систем…
Зайдем с другой стороны. Как предыстория скажу, что на новом месте работы от меня в теории могут понадобится эти знания. Не посоветуете литературу?
Возможно я покажусь занудой, если скажу что лучшая литература — это официальная документация :) Все остальное (включая мои статьи) — это «художественная» литература, которая полезна для более просто усвоения информации но не более :) могу много поумничать и подискутировать на эту тему но не стану, а то щас как понесет….)))) Дабы не быть голословным — вот, для примера, ссылка по теме. Удачи!
Благодарю, буду читать.
Уведомление: Nandrolone Decanoate kaufen Deutschland
Уведомление: rénover et aménager salle de bain
Уведомление: Caco-2 cell line
Уведомление: Anabole steroide kaufen Deutschland
Have you ever considered about including a little bit more than just your articles?
I mean, what you say is valuable and everything. However just imagine if you added some great pictures or video clips to give
your posts more, «pop»! Your content is excellent but
with pics and videos, this blog could definitely be one
of the best in its niche. Amazing blog!
Уведомление: Music Download Mp3
It is in reality a nice and useful piece of information. I am
happy that you simply shared this helpful info with us.
Please stay us up to date like this. Thank you
for sharing.
Hi! Do you know if they make any plugins to help with Search Engine Optimization? I’m trying to get my blog to rank
for some targeted keywords but I’m not seeing very good success.
If you know of any please share. Thank you!
Hey would you mind letting me know which web host you’re utilizing?
I’ve loaded your blog in 3 different web browsers and I must say this blog loads a lot quicker then most.
Can you recommend a good internet hosting provider at a reasonable price?
Thanks, I appreciate it!
Hi would you mind stating which blog platform you’re using?
I’m looking to start my own blog in the near future but I’m having a
difficult time deciding between BlogEngine/Wordpress/B2evolution and Drupal.
The reason I ask is because your design and style seems different then most blogs and I’m looking for something unique.
P.S Apologies for getting off-topic but I had to ask!
Уведомление: website
Уведомление: espiar facebook
Уведомление: voirfilms.lu
Уведомление: executive resume writing service
Уведомление: factory direct enamel pins
Уведомление: merchant accounts for cbd
Уведомление: تعمیر پکیج بوتان مدل اپتیما
Уведомление: merchant services for travel agencies
Уведомление: executive resume writing service
Уведомление: pokerace99
Уведомление: HempWorx CBD
Уведомление: freezer sticker labels
Уведомление: Kydex holsters
Уведомление: must watch
Уведомление: Cu-Ni alloy powder
Уведомление: pharmacy merchant account forum
Уведомление: making money tips
Уведомление: RePelis
Уведомление: publish online
Уведомление: earn money
Уведомление: NSU Wankel spider
Уведомление: http://tekhattan.com
Уведомление: +
Уведомление: บาคาร่า
Уведомление: Casual Art Print Decoration
Уведомление: علت سرد و گرم شدن آب پکیج
Уведомление: www.tekhattan.com
Уведомление: book creator
Уведомление: เงิน ด่วน โอน เข้า บัญชี โคราช
Уведомление: 123movies
Уведомление: เงินกู้ อำเภอ แคนดง
Уведомление: frauen treffen
Уведомление: Brooklyn Point Brooklyn, New York City, Brooklyn Point
Уведомление: hard cider yeast
Уведомление: ¢Í ÊÔ¹àª×èÍ Ã¶Â¹µì
Уведомление: รับทำ SEO
Link exchange is nothing else however it is simply placing
the other person’s web site link on your page at appropriate
place and other person will also do similar in support of you.
Уведомление: buy weed online us
Good day I am so thrilled I found your blog, I really found
you by accident, while I was researching on Aol for something else, Regardless I am here now and would just
like to say many thanks for a remarkable post and a all round entertaining blog (I also love the theme/design), I
don’t have time to read through it all at
the moment but I have book-marked it and also included your RSS feeds, so when I have time I will be back to read more, Please do keep up the great
job.
Yes! Finally someone writes about tec.
Rest assured that the Oklahoma City property managers is actually comparatively good at distinguishing fake from the genuine ones.
Some fibrous products are employed in building for thermal insulation or sound proofing and are generally made from fibreglass or ceramic.
Workers prefer boom lifts as these are easy on maintenance and therefore are efficient on energy.