Основы работы с Active Directory: часть вторая — основные инструменты администрирования

Итак, продолжаем тему Active Directory.

В предыдущей статье мы бегло рассмотрели процесс установки компонентов Active Directory, далее предлагаю рассмотреть основные процедуры управления данной системой каталогов.

Дисклеймер: в данной теме я не очень силен, поэтому, просьба не воспринимать все нижеописанное как догму, это скорее для ознакомления. Короче говоря — сильно не пинайте :)

Для лучшего понимания принципов управления Active Directory, рассмотрим совсем немного теории.

Active Directory имеет древовидную иерархическую структуру, основу которой составляют объекты. Из 3-х типов объектов, нас, в первую очередь, интересуют учетные записи пользователей и компьютеров.

Данный тип объектов включает несколько, так называемых классов (за терминологию не ручаюсь): Organizational Unit (OU, контейнер, подразделение), Group (группа), Computer (компьютер), User (пользователь).

Некоторые из них (например OU или группа) могут содержать в себе другие объекты.

Каждый из объектов имеет свое уникальное имя и набор правил и разрешений (групповых политик).

Соответственно, администрирование на данном уровне сводится к управлению деревом объектов (OU, группа, пользователь, компьютер) и управлению их политиками. Основные GUI инструменты для управления AD, находятся в Start -> Administrative Tools :

ad-tools-01

Сегодня больше поговорим об управлении объектами, а о групповых политиках я постараюсь рассказать в следующий четверг.

Для управления объектами, лично я использую старую добрую оснастку «Active Directory Users and Computers«.

Здесь по-умолчанию мы увидим в корне стандартные контейнеры, которые создаются во время установки:

ad-tools-03

В контейнере «Users» видим единственного активного пользователя «Administrator» и стандартные группы, у каждой из которых свои политики и разрешения:

ad-tools-15

Что бы добавить нового администратора, нам понадобится создать пользователя и добавить его в группу «Domain Admins«.

Дабы не переливать из пустого в порожнее, рассмотрим несколько банальных примеров.

В своем свежеиспеченном Active Directory я создал новый контейнер (Organizational Unit) с названием TestOU.

Для небольшой инфраструктуры необязательно создавать новые OU, можно все складывать в дефолтные контейнеры в корне, но когда вы захотите разделить большую инфраструктуру, это становится просто необходимо.

Так вот, создадим в нашем OU нового пользователя домена (правой кнопкой по OU -> New -> User).

В появившемся окошке заполняем имя/фамилию, имя пользователя для входа в систему:

ad-tools-04

Задаем первоначальный пароль и отмечаем галочками необходимые политики:

ad-tools-05

В моем случае, при первом входе в систему, система попросит пользователя в добровольно-принудительном порядке задать новый пароль.

Проверяем и нажимаем финиш:

ad-tools-06

Если посмотреть на свойства пользователя домена, то можно увидеть там много интересных настроек:

ad-tools-13

Теперь добавим пользователя в ранее созданную группу. Правой по юзеру -> Add to Group:

ad-tools-07

пишем имя группы и нажимаем «Check Names» что бы проверить все ли правильно мы написали, затем нажимаем OK.

Далее я создал еще одну группу с именем TestGroup_NEW:

ad-tools-08

и добавил ее в группу TestGroup, таким образом, у нас получилась группа в группе :)

Заглянув в свойства группы, мы кроме всего прочего, можем посмотреть кто в ней состоит:

ad-tools-09

В общем, все это и так интуитивно понятно и просто, но для полноты картины лишним не будет.

Ну с пользователями и группами, в принципе все ясно, теперь посмотрим на администрирование учетных записей компьютеров.

В концепции Active Directory, учетная запись компьютера представляет собой запись в контейнере, которая содержит информацию об имени компьютера, его ID, информацию об операционной системе и пр., и служит для возможности управления компьютерами, подключенными к домену и применения к ним разного рода политик.

Учетные записи компьютеров могут быть созданы как заранее вручную, так и автоматически, при введении компьютера в домен.

Ну с автоматическим вариантом все понятно: мы под учеткой доменного администратора вводим компьютер в домен и его (компьютера) учетная запись автоматически создается в контейнере по-умолчанию — Computers.

С созданием вручную все немного по-другому, рассмотрим пример, когда это может быть полезно.

Например, нам нужно предоставить право на введение в домен компьютера пользователем, который не является администратором домена (у меня часто такое случается).

Или, например, если при выполнении автоматизированного клонирования виртуальных машин, компьютеры в домен вводятся с помощью скриптов и должны складываться в определенный контейнер, можно создать готовые учетные записи в нужном контейнере и предоставить право на введение их в домен, конкретному пользователю.

Рассмотрим процесс создания учетной записи компьютера на примере с картинками. Правой кнопкой на нужном контейнере — > New -> Computer :

ad-tools-10

Выбираем пользователя, который будет владельцем учетки:

ad-tools-11

Нажимаем ОК-ОК и получаем готовую учетную запись компьютера.

ad-tools-14

Если заглянем в ее свойства, то увидим что она чистая, т.к. не содержит информации о конкретном компьютере:

ad-tools-12

Учетные записи, группы и контейнеры можно перемещать между другими контейнерами, при этом, нужно помнить, что на дочерние объекты распространяются доменные политики родительских объектов.

Мы рассмотрели инструмент «Active Directory Users and Computers«, но это не единственный возможный вариант администрирования объектов. В Windows Server 2008R2 для этих же целей можно использовать «Active Directory Administrative Center» :

ad-tools-02

На картинке видим как оно выглядит. По функционалу много не скажу, но на первый взгляд — это тот же самый «Users and Computers» в немного другой оболочке. Возможно (даже скорее всего), он будет более удобен, для повседневного использования, дело привычки.

Кроме стандартного функционала «Active Directory Users and Computers» типа, создание/удаление/изменение пользователей/групп/подразделений/компьютеров, здесь реализован продвинутый функционал фильтров для удобного поиска объектов и управления ими.

Еще один, наиболее хардкорный и, наверное, наиболее функциональный способ администрирования Active Directory  — «Active Directory Module for Windows PowerShell«. Скажу честно — ни разу не пользовался, хватало функциональности графических утилит. Командная строка это хорошо, но боюсь, что придется потратить много времени на изучение ее функционала, тут уж на любителя :)

На сегодня все. Продолжение следует ;)

Основы работы с Active Directory: часть вторая — основные инструменты администрирования: 133 комментария

  1. Germanyto

    Спасибо, а можно более подробнее про действия выполняемые с Active Directory и практические методы администрирования Win серверов.

    1. Доктор Добрянский Автор записи

      По AD планирую написать еще 1-2 статьи для полноты картины, но если честно — не знаю когда :( Времени катастрофически не хватает, полностью погружен в проекты и изучение технологий виртуализации и Cloud систем…

  2. Germanyto

    Зайдем с другой стороны. Как предыстория скажу, что на новом месте работы от меня в теории могут понадобится эти знания. Не посоветуете литературу?

    1. Доктор Добрянский Автор записи

      Возможно я покажусь занудой, если скажу что лучшая литература — это официальная документация :) Все остальное (включая мои статьи) — это «художественная» литература, которая полезна для более просто усвоения информации но не более :) могу много поумничать и подискутировать на эту тему но не стану, а то щас как понесет….)))) Дабы не быть голословным — вот, для примера, ссылка по теме. Удачи!

  3. Уведомление: Link Shortener For Instagram

  4. Уведомление: Link Shortener Website

  5. Уведомление: Dekhire

  6. Уведомление: Buy This Domain

  7. Уведомление: buy liquor

  8. Уведомление: Workers Compensation Investigations

  9. Уведомление: Workers Compensation Investigations

  10. Уведомление: Private Investigator

  11. Уведомление: Surveillance

  12. Уведомление: Surveillance

  13. Уведомление: Private Investigator

  14. Уведомление: Surveillance

  15. Уведомление: Repze LLC

  16. Уведомление: Repze LLC

  17. Уведомление: Repze LLC

  18. Уведомление: Repze LLC

  19. Уведомление: Repze LLC

  20. Уведомление: نساء الرياض

  21. Уведомление: مسيار

  22. Уведомление: نساء مسيار

  23. Уведомление: wmbet casino

  24. Уведомление: dexedrine for adhd

  25. Уведомление: buy focalin xr online

  26. Уведомление: lonpao

  27. Уведомление: business administration university college

  28. Уведомление: جامعات مصر

  29. Уведомление: التعليم فى مصر

  30. Уведомление: fine arts university college

  31. Уведомление: Guns on Sale

  32. Уведомление: Ammunition for Sale

  33. Уведомление: 45 ACP Ammo

  34. Уведомление: Glock 17 for Sale

  35. Уведомление: Colt 1911 for Sale

  36. Уведомление: spytostyle.com

  37. Уведомление: SpyToStyle

  38. Уведомление: SpyToStyle

  39. Уведомление: emupedia

  40. Уведомление: bet789

  41. Уведомление: soi cau 247

  42. Уведомление: ban ca h5

  43. Уведомление: game bài đổi thưởng

  44. Уведомление: Game bài

  45. Уведомление: Game bài đổi thưởng

  46. Уведомление: Sangeetas Kitchen

  47. Уведомление: Food Delivery london

  48. Уведомление: Lamborghini rental miami

  49. Уведомление: Anonymous 180mg MDMA

  50. Уведомление: احسن جامعة فى مصر

  51. Уведомление: top private university

  52. Уведомление: markham condos for sale

  53. Уведомление: condos in toronto

  54. Уведомление: liberty village condos for sale

  55. Уведомление: toronto penthouses

  56. Уведомление: humber bay condos for sale

  57. Уведомление: Men's Dress Shirts

  58. Уведомление: $5 dollar smartwatch plan

  59. Уведомление: $30 dollar unlimited phone plan

  60. Уведомление: real estate agents in toronto

  61. Уведомление: curly girl method

  62. Уведомление: bảng chữ cái tiếng trung

  63. Уведомление: cap tiếng anh ngắn

  64. Уведомление: Lập trình android

  65. Уведомление: các trò chơi trên powerpoint

  66. Уведомление: Cách tạo mục lục trong word

  67. Уведомление: cách chèn chữ ký vào word

  68. Уведомление: hàm if trong excel

  69. Уведомление: Công thức nấu ăn

  70. Уведомление: Các món nướng ngon

  71. Уведомление: cách làm sấu ngâm đường

  72. Уведомление: CNC Milling

  73. Уведомление: 3-AXIS MACHINING

  74. Уведомление: 5 Axis Parts Machining

  75. Уведомление: CNC Processing in China

  76. Уведомление: Làm đẹp sau sinh

  77. Уведомление: Trang điểm cá nhân cần những gì

  78. Уведомление: Cách mua hàng trên taobao

  79. Уведомление: Dropship là gì

  80. Уведомление: đọc sách miễn phí

  81. Уведомление: Cách viết email xin việc

  82. Уведомление: tự học vẽ tranh chì

  83. Уведомление: vnhoi

  84. Уведомление: vnhoi

  85. Уведомление: fireman guitar

  86. Уведомление: خالد عزازى

  87. Уведомление: future university

  88. Уведомление: Moving Labor

  89. Уведомление: Local Moving

  90. Уведомление: Mushrooms For Sale

  91. Уведомление: taxi prevoz aerodrom konstantin veliki

  92. Уведомление: taxi prevoz aeodrom vranjacka banja

  93. Уведомление: Estate Agents In Ipswich

  94. Уведомление: Times Kuwait

  95. Уведомление: Doha News

  96. Уведомление: GLOCK G43X For Sale

  97. Уведомление: GLOCK 23

  98. Уведомление: Lake Wales Therapist

  99. Уведомление: Cousin Pat Therapy

  100. Уведомление: Cousin Pat Therapy

  101. Уведомление: widgetsarecool.shopify.com

  102. Уведомление: Upper Dolpo Trekking

  103. Уведомление: Langtang Valley with Ganjala Pass Trek

  104. Уведомление: خالد عزازي

  105. Уведомление: خالد عزازى

  106. Уведомление: ???? ?????

  107. Уведомление: FUE

  108. Уведомление: Future University In Egypt

  109. Уведомление: خالد عزازى

  110. Уведомление: خالد عزازي

  111. Уведомление: خالد عزازى

  112. Уведомление: cnc machining china

  113. Уведомление: cnc aluminum

  114. Уведомление: china cnc stainless

  115. Уведомление: Fitness Info

  116. Уведомление: Health Guide

  117. Уведомление: Healthcare tips

  118. Уведомление: curly girl method approved products

  119. Уведомление: Fitness Info

  120. Уведомление: FUE

  121. Уведомление: jeremiah robles

  122. Уведомление: خالد عزازى

  123. Уведомление: خالد عزازى

  124. Уведомление: خالد عزازى

  125. Уведомление: خالد عزازى

  126. Уведомление: خالد عزازي

  127. Уведомление: خالد عزازى

  128. Уведомление: خالد عزازى

Обсуждение закрыто.