Главная » Настройки » Администрирование ad windows 7. Лучшие практики Active Directory. Введение в основные понятия Active Directory

Администрирование ad windows 7. Лучшие практики Active Directory. Введение в основные понятия Active Directory

В первой части цикла статей я сделал краткий новый возможностей Active Directory. Давайте посмотрим на все это повнимательнее….

Конфигурирование роли AD DS

Для установки доменных служб Active Directory теперь используется Диспетчер Серверов и Windows PowerShell, как и для установки всех других ролей и компонентов сервера и в Windows Server 2012.

Интеграция Диспетчера Серверов и AD DS

Диспетчер Серверов выступает в качестве единого концентратора задач по управлению серверами. Его панель периодически обновляет установленные роли и группы удаленных серверов . Server Manager обеспечивает централизованное управление локальными и удаленными серверами без необходимости доступа к локальной консоли. Доменные службы Active Directory являются одной из этих ролей; запустив Диспетчера Сервера на контроллере домена или средства удаленного администрирования сервера на клиенте Windows 8, вы увидите все важные события, произошедшие за последнее время на контроллерах домена в лесу. Эти представления включают в себя:

Доступность сервера

Монитор производительности с предупреждениями о высокой загрузке процессора и памяти

Состояние служб Windows, относящихся к AD DS

Последние предупреждения,связанные с Directory Services и записи ошибок в журнале событий

Лучшие практики анализа контроллеров домена и набор рекомендаций Microsoft

Корзина в Центре администрирования Active Directory

В Windows Server 2008 R2 впервые появилась корзина Active Directory, которая позволяла восстанавливать удаленные объекты Active Directory без восстановления из резервной копии, перезапуска доменных служб Active Directory или перезагрузки контроллеров домена. Windows Server 2012 принес с собой новый графический интерфейс для Корзины в Центре администрирования Active Directory .Это позволяет администраторам включить корзину и затем найти или восстановить удаленные объекты в доменном контексте в лесу, и все это без непосредственного использования командлетов Windows PowerShell.Центр администрирования Active Directory и Корзина Active Directory по-прежнему используют движок Windows PowerShell , поэтому предыдущие сценарии и выполнение отдельных командлетов по-прежнему могут быть с успехом применены.

Детальные настройки политик блокировки учетных записей и паролей в Центре администрирования

В Windows Server 2008 появились детальные политики паролей, которые позволили администраторам настроить несколько паролей и политик блокировки учетной записи в домене. Это решение позволяло более гибко управлять доменной политикой для обеспечения более или менее строгиих правил паролей, на основе пользователей и групп. У него не было отдельного интерфейса управления и администраторам приходилось настраивать его с помощью Ldp.exe или Adsiedit.msc. Windows Server 2008 R2 представил модуль ActiveDirectory для Windows PowerShell, который позволил администраторам использовать интерфейс командной строки для FGPP. Windows Server 2012 приносит графический интерфейс для детального управления политикой паролей.Центр администрирования Active Directory теперь является отправной точкой упрощенного управления FGPP для всех администраторов.

Просмотр истории Windows PowerShell

Windows Server 2008 R2 представил Центр администрирования Active Directory, который заменил известную администраторам еще со времен Windows 2000 остнастку Active Directory пользователи и компьютеры. .Центр администрирования Active Directory просто использует под капотом движок модуля ActiveDirectory для PowerShell, предоставляя графический интерфейс для выполнения команд администратора.

Поскольку сам модуль ActiveDirectory содержит более ста команд, в них можно слегка запутаться. Сейчас PowerShell тесно интегрирован в стратегию администрирования ОС Windows ,и Центр администрирования Active Directory теперь включает в себя просмотр истории выполнения команд, который позволяет вам видеть команду, которая была выполнена в графическом интерфейсе. Вы также можете осуществлять здесь поиск и копирование, очищать историю и добавлять заметки в простом и удобном интерфейсе. Это позволит администратору удобно использовать использовать графический интерфейс для создания и редактирования объектов, а затем просмотреть их создание в истории просмотра, чтобы узнать больше о возможностях сценариев PowerShell на примерах.

Репликация средствами PowerShell

Ура!Теперь старый добрый repadmin может отправиться на покой- в новом модуле PowerShell для Active Directory теперь есть гораздо более богатый функционал- он позволяет конфигурировать новые или существующие сайты, подсети,соединения,стоимости сайтов и серверы-плацдармы.Также можно управлять метаданными и статусом репликации,очередью вектором обновления (UTDVEC).

Использование командлетов репликации совместно с другими командлетами модуля AD PowerShell позволяют администрировать весь лес используя только одну консоль.

Все это дает дополнительный толчок администраторам, желающим воспользоваться всеми новыми возможностями Windows Server без использования графического интерфейса,что сократит поверхность атак и время на обслуживание сервера. Это приобретает особое значение, если серверы должны быть развернуты в высоко защищенных сетях, таких, как Secret Internet Protocol Router (SIPR) и корпоративных сетях периметра (DMZ).

Позволю себе здесь заметить, что новый мастер установки Windows Server 2012 сразу же настоятельно рекомендует установить сервер в режиме Core, как наиболее эффективную установку, в отличие от предыдущей версии установщика в Windows Server 2008 R2.(эта опция сразу выбрана по умолчанию)

Windows Server Technical Reference

Улучшения в области выдачи и управления RID

В Windows 2000 появился RID Master, который выдавал пул относительных идентификаторов для контроллеров домена, чтобы последние могли создать идентификаторы безопасности (SID)для принципалов безопасности, таких как пользователи, группы и компьютеры. По умолчанию, глобальное пространство RID ограничено 2 30 (или 1073741823) общего количества идентификаторов,созданных в домене. Идентификаторы SID не могут быть повторно созданными или перевыпущенными. В течение долгого времени в больших доменах может начать иссякать пул RID либо возникшие инциденты могут привести к ненужным истощениям пула RID . Windows Server 2012 пересматривает ряд моментов, связанных с выдачей RID и вопросами управления впервые с 1999 года. К ним относятся:

  • Периодическое использование пула RID теперь записывается как предупреждение в журнале событий.
  • Создается событие о недеиствительном пуле RID
  • Максимальное ограничение политики RID на размер блока RID теперь применяется принудительно.
  • Искусственное завышение RID применяется принудительно и заносит оповещение в журнал событий, если глобальное пространство RID истощается, позволяя тем самым администратору предпринять действия прежде, чем оно будет исчерпано.
  • Глобальное пространствоRID теперь увеличено на один бит;),удваивая размер адресов до 2 31 (2,147,483,648 SIDs) How Security Identifiers Work

потрогать риды руками поможет…..DCDIAG:

Dcdiag.exe /TEST:RidManager /v | find /i “Available RID Pool for the Domain”

или PowerShell

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

#######################
# Get Domain RID Info #
#######################
## Based on code From https://blogs.technet.com/b/askds/archive/2011/09/12/managing-rid-pool-depletion.aspx
Import-Module ActiveDirectory
Write-Verbose “Get RID Information from AD including the number of RIDs issued and remaining `r “
$RIDManagerProperty = Get-ADObject “cn=rid manager$,cn=system,$ADDomainDistinguishedName” -property RIDAvailablePool -server ((Get-ADDomain $DomainDNS).RidMaster)
$RIDInfo = $RIDManagerProperty.RIDAvailablePool
$TotalSIDS = $RIDInfo / (::Pow(2,32))
$Temp64val = $TotalSIDS * (::Pow(2,32))
$CurrentRIDPoolCount = $RIDInfo – $Temp64val
$RIDsRemaining = $TotalSIDS – $CurrentRIDPoolCount

$RIDsIssuedPcntOfTotal = ($CurrentRIDPoolCount / $TotalSIDS)
$RIDsIssuedPercentofTotal = “{0:P2}” -f $RIDsIssuedPcntOfTotal
$RIDsRemainingPcntOfTotal = ($RIDsRemaining / $TotalSIDS)
$RIDsRemainingPercentofTotal = “{0:P2}” -f $RIDsRemainingPcntOfTotal

Write-Output “RIDs Issued: $CurrentRIDPoolCount ($RIDsIssuedPercentofTotal of total) `r “
Write-Output “RIDs Remaining: $RIDsRemaining ($RIDsRemainingPercentofTotal of total) `r “

Продолжение следует… 🙂

Сведения

    Windows6.1-KB958830-x64-RefreshPkg.msu

    Windows6.1-KB958830-x86-RefreshPkg.msu

    Дата публикации:

    • **Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) можно устанавливать ТОЛЬКО на компьютерах под управлением Windows 7 или Windows 7 с пакетом обновления 1 (SP1) выпусков Профессиональная, Корпоративная и Максимальная.**

      Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) позволяют ИТ-администраторам управлять ролями и компонентами, которые устанавливаются на удаленных компьютерах под управлением Windows Server 2008 R2 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 (а также Windows Server 2008 или Windows Server 2003 для некоторых ролей и компонентов), с удаленного компьютера под управлением Windows 7 или Windows 7 с пакетом обновления 1 (SP1). Данные средства обеспечивают поддержку удаленного управления компьютерами с операционными системами Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2008 R2 и Windows Server 2008 (для некоторых ролей и компонентов) при установке основных серверных компонентов или при полной установке этих операционных систем. С помощью средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) можно удаленно управлять отдельными ролями и компонентами Windows Server 2003, хотя вариант установки основных серверных компонентов не предусмотрен для этой операционной системы.

      По функциональным возможностям эта функция сопоставима с пакетом средств администрирования для Windows Server 2003 и средствами удаленного администрирования сервера для Windows Vista с пакетом обновления 1 (SP1).

    Требования к системе

      Поддерживаемая операционная система

      Windows 7; Windows 7 Service Pack 1

      • Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) можно устанавливать на компьютерах под управлением Windows 7 или Windows 7 с пакетом обновления 1 (SP1) выпусков Профессиональная, Корпоративная и Максимальная. Данное программное обеспечение можно устанавливать ТОЛЬКО на компьютерах под управлением Windows 7 или Windows 7 с пакетом обновления 1 (SP1) выпусков Профессиональная, Корпоративная и Максимальная; его нельзя устанавливать на целевых серверах, которыми планируется управлять.

        На этой странице можно загрузить 32-разрядную и 64-разрядную версии средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1). Загрузите и установите версию, соответствующую архитектуре компьютера, на котором планируется установить средства администрирования. Пользователям, которые не знают, какая архитектура используется на компьютере - x86 или x64, следует обратиться к разделу .

        Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) можно использовать для управления ролями и компонентами, выполняемыми при установке основных серверных компонентов или при полной установке 64-разрядной операционной системы Windows Server 2008 R2 с пакетом обновления 1 (SP1) или Windows Server 2008 R2. Удаленное управление также поддерживается для некоторых ролей и компонентов, выполняемых в системе Windows Server 2008 или Windows Server 2003.

        Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) не следует устанавливать на компьютер, где выполняется пакет средств администрирования Windows Server 2003 или Windows 2000 Server®. Перед установкой средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) удалите с компьютера все версии пакета средств администрирования или средств удаленного администрирования сервера.

        На компьютере может быть установлен только один экземпляр средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1). Перед установкой нового пакета необходимо удалить все существующие копии средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1). К ним также относятся копии на разных языках.

        Подробные сведения о средствах удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) и поддерживаемых операционных системах, для работы с которыми можно использовать эти средства, см. в .

    Инструкции по установке

      • Установка средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1)

        Администраторы на компьютере, на котором требуется установить пакет средств администрирования, или войти в систему компьютера, используя встроенную учетную запись Администратор .

        Внимание! Перед установкой средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) удалите с компьютера все версии пакета средств администрирования или средств удаленного администрирования сервера.

        Внимание! На компьютере может быть установлен только один экземпляр средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1). Перед установкой нового пакета необходимо удалить все существующие копии средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1). К ним также относятся копии на разных языках. Инструкции по удалению существующих экземпляров средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) см. в разделе на этой странице.

        1. Загрузите пакет средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) на компьютер под управлением Windows 7 или Windows 7 с пакетом обновления 1 (SP1) из Центра загрузки Майкрософт.

        2. Откройте папку, в которую загружен пакет, дважды щелкните его, чтобы распаковать, и запустите мастер установки средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1).

        . Внимание! Чтобы начать установку пакета средств администрирования, необходимо принять условия лицензии и ограниченной гарантии.

        3. Выполните все инструкции мастера и нажмите кнопку Готово для завершения его работы после выполнения установки.

        4. Нажмите кнопку Пуск , выберите пункт Панель управления и щелкните Программы .

        5. В области Программы и компоненты выберите параметр .

        6. Если в окне «Управление учетными записями пользователей» появится запрос на разрешение открытия диалогового окна «Компоненты Windows», нажмите кнопку Продолжить .

        7. В диалоговом окне Компоненты Windows разверните элемент .

        8. Выберите средства удаленного управления, которые необходимо установить.

        9. Нажмите кнопку ОК .

        10. Настройте меню Пуск так, чтобы в нем отображался ярлык Администрирование (при его отсутствии):

        Щелкните кнопку Пуск правой кнопкой мыши и выберите команду Свойства ;

        На вкладке Меню "Пуск" нажмите кнопку Настроить ;

        В диалоговом окне Настройка меню "Пуск" прокрутите список до пункта Администрирование и установите флажок Отображать в меню "Все программы" и "Пуск" . Нажмите кнопку ОК . Ярлыки оснасток, установленных средствами удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1), добавляются в список Администрирование меню Пуск .

        Повторная установка или удаление отдельных средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1)

        Если средство удаленного администрирования было удалено с компьютера под управлением Windows 7 или Windows 7 с пакетом обновления 1 (SP1), его можно установить повторно, выполнив действия, описанные ниже.

        Повторная установка отдельных средств удаленного администрирования

        1. Нажмите кнопку Пуск , выберите пункт Панель управления и щелкните Программы .

        2. В области Программы и компоненты выберите параметр Включение или отключение компонентов Windows .

        3. Если в окне «Управление учетными записями пользователей» появится запрос на разрешение открытия диалогового окна Компоненты Windows , нажмите кнопку Продолжить .

        4. В диалоговом окне Компоненты Windows разверните элемент Средства удаленного администрирования сервера .

        5. Выберите средства удаленного управления, которые необходимо установить, или снимите флажки удаляемых средств. Нажмите кнопку ОК .

        Полное удаление средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1)

        Необходимо быть членом группы Администраторы на компьютере, на котором требуется удалить пакет средств администрирования, или войти в систему компьютера, используя встроенную учетную запись Администратор .

        Удалить с компьютера весь пакет средств администрирования можно с помощью служебной программы Удаление программы в панели управления.

        Удаление пакета средств администрирования

        1. Нажмите кнопку Пуск , выберите пункт Панель управления , а затем в области Программы щелкните элемент Удаление программы .

        2. Щелкните элемент Просмотр установленных обновлений .

        3. Выберите пункт Обновление для Microsoft Windows (958830) .

        4. Нажмите кнопку Удалить .

17.03.2014 Даррен Мар-Элиа

Когда Windows PowerShell только появился, многие стали спрашивать, можно ли управлять Active Directory (AD) с использованием PowerShell. В те времена ответ Microsoft был не таким, какой хотелось бы услышать большинству администраторов. В PowerShell имелся встроенный "акселератор типов" Active Directory Service Interfaces (ADSI) для доступа к объектам AD, но пользователю приходилось в основном самостоятельно выяснять, как применить PowerShell для решения задач администрирования AD. Значительные изменения произошли с выпуском Windows Server 2008 R2, в котором появился модуль PowerShell для Active Directory. В модуль AD входит набор команд для управления AD, а также AD Provider, с помощью которого можно перемещаться по AD, как по диску с символьным обозначением. В этой статье я покажу, как установить модуль AD, и подробно опишу его функционирование

Когда Windows PowerShell только появился, многие стали спрашивать, можно ли управлять Active Directory (AD) с использованием PowerShell. В те времена ответ Microsoft был не таким, какой хотелось бы услышать большинству администраторов. В PowerShell имелся встроенный «акселератор типов» Active Directory Service Interfaces (ADSI) для доступа к объектам AD, но пользователю приходилось в основном самостоятельно выяснять, как применить PowerShell для решения задач администрирования AD. Спустя некоторое время компания Quest Software предоставила бесплатный набор команд для административных задач AD, в том числе создания, изменения и удаления объектов AD, и поиска объектов в AD. В течение длительного периода состояние PowerShell и управления AD было таким.

Значительные изменения произошли с выпуском Windows Server 2008 R2, в котором появился модуль PowerShell для Active Directory. В модуль AD входит набор команд для управления AD, а также AD Provider, с помощью которого можно перемещаться по AD, как по диску с символьным обозначением. В этой статье я покажу, как установить модуль AD, и подробно опишу его функционирование.

Установка Active Directory Module

В отличие от предыдущих инструментов, в которых для связи с AD применялся протокол LDAP, модуль AD использует протоколы Active Directory Web Services (ADWS) для обмена данными с контроллером домена (DC) AD. Эти протоколы подробно описаны в блоге MSDN «Active Directory Web Services Overview», но достаточно отметить, что команды PowerShell в модуле AD и Active Directory Administrative Center (ADAC) используют ADWS для связи и получения информации из AD.

При установке контроллеров домена Windows Server 2012 или Server 2008 R2 в домене AD протокол ADWS устанавливается и запускается по умолчанию на каждом из них. Если ваш домен состоит целиком из контроллеров домена Windows Server 2008 или Windows Server 2003, необходимо установить ADWS отдельно. Microsoft бесплатно предоставляет пакет Active Directory Management Gateway Service для этой цели. Если установить пакет по крайней мере на одном контроллере домена AD Server 2008 или Server 2003, то можно использовать модуль AD для PowerShell наряду с ADAC.

Собственно модуль AD устанавливается по умолчанию на любом DC с операционной системой Server 2012 или Server 2008 R2. На компьютерах Windows 8 и Windows 7 (или любом компьютере, кроме DC, работающем с Server 2012 или Server 2008 R2), необходимо установить средства удаленного администрирования сервера Remote Server Administration Tools из центра загрузки Microsoft.

Независимо от того, установлены Remote Server Administration Tools на компьютере заранее или отдельно, следующий шаг - открыть раздел установки и удаления программ Add/Remove Programs в панели управления и выбрать пункт включения или отключения компонентов Windows - Turn Windows features on or off - в меню слева. Прокрутите диалоговое окно компонентов Windows Feature вниз до раздела Remote Server Administration Tools. Найдите флажок Active Directory Module for Windows PowerShell в папке \Remote Server Administration Tools\Role Administration Tools\AD DS and AD LDS Tools, как показано на экране 1. Установите флажок и нажмите кнопку OK, чтобы установить модуль.

После этого вы должны увидеть ярлык Active Directory Module for Windows PowerShell в разделе Administrative Tools меню Start. Щелкните этот ярлык, чтобы запустить PowerShell с загруженным модулем AD. Если вы уже работаете в PowerShell и хотите просто загрузить модуль, чтобы он стал доступным для использования, можно ввести следующую команду и получить доступ к командам AD и AD Provider:

Import-Module ActiveDirectory

Теперь посмотрим, как перемещаться по AD с помощью AD Provider.

Использование Active Directory Provider

В PowerShell реализована концепция дисков PowerShell, которые я буду называть просто дисками PS. Упрощенно можно назвать диск PS представлением ресурса, такого как пригодная для навигации файловая система, состоящая из папок и конечных элементов. Не каждый ресурс можно представить таким образом, но многие (в том числе AD и реестр) хорошо вписываются в эту модель. Модуль AD содержит провайдера для диска PS AD. Соответственно, можно перемещаться и даже изменять AD, как будто это файловая система.

Как же перемещаться по AD, используя AD Provider? Предполагается, что PowerShell открыт и модуль AD загружен. В этом случае первый шаг - запустить команду Set-Location, которая имеет несколько псевдонимов, в том числе sl и cd:

Set-Location AD:

Эта команда изменяет текущее рабочее положение диска PS AD. В результате приглашение PowerShell покажет AD:\ вместо C:\. Затем, чтобы увидеть элементы в диске PS AD, можно применить команду Get-ChildItem с псевдонимом dir:

Get-ChildItem

На экране 2 показан пример результата на моем компьютере.

Как мы видим, команда возвращает список всех доступных разделов домена. Самый интересный, на мой взгляд, - раздел домена с именем cpandl, который содержит имена пользователей и компьютеров. Чтобы изменить этот домен, достаточно ввести команду:

Set-Location «dc=cpandl,dc=com»

Обратите внимание, что используется команда Set-Location с различающимся именем (DN) моего домена AD. Это требуется для корректной навигации. После перехода в каталог домена (на что указывает приглашение AD:\dc=cpandl,dc=com в PowerShell), можно использовать команду Get-ChildItem, чтобы увидеть структуру AD верхнего уровня (экран 3).


Экран 3. Просмотр верхнего уровня иерархии AD

Если нужно взглянуть на пользователей в организационной единице (OU) SDM, то для перехода в эту OU достаточно ввести:

Set-Location «OU=SDM»

Командная строка PowerShell будет иметь вид AD:\ou=SDM,dc=cpandl,dc=com. На данном этапе можно использовать команду Get-ChildItem, чтобы увидеть все объекты пользователя в этом OU. Если нужно изменить свойство Description на объекте пользователя, представляющем мою учетную запись пользователя Darren Mar-Elia. Для этого есть команда! Команда Set-ItemProperty позволяет изменить свойство в объекте AD. Если нужно изменить описание учетной записи пользователя на Chief Techie, следует выполнить команду:

Set-ItemProperty -Path ".\CN=Darren Mar-Elia" ` -Name «Description» -Value «Chief Techie»

Как мы видим, здесь используется параметр –Path для указания моей учетной записи пользователя в текущем каталоге. Я также использую параметр -Name, дабы указать, что нужно изменить свойство Description, и параметр –Value, для указания описания Chief Techie.

Обратите внимание, что если нужно найти все объекты с определенным значением свойства, можно задействовать Get-ItemProperty. Если требуется просто получить ссылку на объект AD, используйте Get-Item.

Как видите, работать с AD таким образом довольно просто. Механизм вряд ли подходит для массовых изменений, однако он удобен для работы с AD как с файловой системой. При этом, как я выяснил, большинство администраторов использует команды вместо диска PS AD для управления AD. Посмотрим, как действуют некоторые из этих команд.

Применение команд Active Directory

Модуль для AD, поставляемый с Windows 7, содержит 76 команд для управления AD. Их можно использовать почти для любых целей, в том числе поиска объектов AD, создания и удаления объектов AD и манипуляций с информацией о настройках AD (например, режим леса и детальная политика паролей). Обычно команды группируются по глаголам, таким как Add-, Remove-, Get- и Set-. Обратите внимание, что не каждая команда Get- имеет соответствующую команду Set- и наоборот, поэтому иногда приходится потратить усилия, чтобы найти нужную команду для задачи. Например, можно установить уровень функциональности леса AD с использованием Set-ADForestMode, но чтобы выяснить текущий уровень функциональности леса, необходимо задействовать команду Get-ADForest и посмотреть свойство ForestMode на возвращенном объекте.

Рассмотрим несколько типовых задач, которые можно выполнить с помощью команд AD. В частности, далее будет показано, как добавить учетные записи пользователя, управлять членством в группе, сбросить пароли учетных записей пользователя и выполнять поиск объектов AD.

Добавление учетных записей пользователя

Команда New-ADUser обеспечивает простой способ добавлять учетные записи пользователя в AD. Если нужно добавить новую учетную запись пользователя с именем Bill Smith в организационную единицу SDM, то в самом простом случае можно создать учетную запись нового пользователя с помощью команды:

New-ADUser -Name «Bill Smith» -SamAccountName «bsmith» ` -GivenName «Bill» -Surname «Smith» ` -DisplayName «Bill Smith» -Path «OU=SDM,DC=cpandl,DC=com»

В этой команде вводится основная информация об учетной записи пользователя. В частности, параметр -SamAccountName служит для предоставления имени учетной записи SAM, необходимой для создания объекта пользователя. Также применяется параметр –Path, чтобы сообщить команде место, куда следует поместить объект - в данном случае в организационную единицу SDM в домене cpandl.com. Кроме того, указано имя пользователя (параметр -GivenName), фамилия (параметр -Surname) и отображаемое имя (параметр -DisplayName).

Выполнение этой команды приведет к созданию учетной записи пользователя, но есть две проблемы. Во-первых, учетная запись будет отключена. Во-вторых, с учетной записью не будет связан пароль, что требуется в большинстве доменов.

Чтобы избежать необходимости активировать учетную запись и назначать пароль отдельно, можно изменить команду New-ADUser. New-ADUser автоматически активирует учетную запись, если указать параметр -Enabled $true в команде. Для активирования требуется пароль, поэтому необходимо также указать его в команде.

Чтобы предоставить пароль, можно использовать параметр –AccountPassword. Однако нельзя ввести пароль простым текстом в командной строке. Этот параметр требует, чтобы пароль был введен в защищенной строке (то есть имел тип данных SecureString). Существует два способа преобразовать пароль в защищенную строку, и в обоих случаях используется переменная.

В первом методе применяется команда ConvertTo-SecureString, которая преобразует строки простого текста в защищенные строки. Например, если нужно преобразовать пароль [email protected] в защищенную строку и назначить его переменной $pwd, следует выполнить команду:

$pwd = ConvertTo-SecureString -string «[email protected]» ` -AsPlainText –force

Это не самый безопасный метод назначения пароля, так как кто-то может заглянуть вам через плечо при вводе команды. Более надежный способ, если команда New-ADUser запросит пароль и будет скрывать вводимые символы. Это можно сделать с помощью команды Read-Hostcmdlet с параметром –AsSecureString:

$pwd = Read-Host -AsSecureString

После выполнения этой команды вы увидите на экране знакомый символ «*" при вводе пароля. Завершив ввод, нажмите клавишу Enter.

После того, как пароль сохранен в переменной $pwd, можно передать его в команду New-ADUser:

New-ADUser -Name»Bill Smith«-SamAccountName»bsmith«` -GivenName»Bill«-Surname»Smith«` -DisplayName»Bill Smith«` -Path»OU=SDM,DC=cpandl,DC=com«` -Enabled $true -AccountPassword $pwd

Как мы видим, команда содержит параметры -Enabled и –AccountPassword, которые активируют учетную запись и безопасно назначают ей пароль.

Создание пользовательских учетных записей по одной - аккуратный способ, но иногда требуется создать несколько учетных записей одновременно. PowerShell прекрасно подходит для этой цели. Например, если нужно создать три учетных записи пользователя, то можно подготовить файл с разделением запятыми (CSV), который содержит информацию об учетной записи, а затем использовать команду Import-CSV для передачи этой информации в New-ADUser.

На экране 4 показан файл CSV с именем userlist.csv.

Обратите внимание, что в этом файле заголовки столбцов соответствуют именам параметров, предоставленных в предыдущей команде New-ADUser. Это сделано специально. Когда данные CSV передаются в New-ADUser, команда выберет эти имена параметров из конвейера PowerShell и их не придется указывать в самой команде. Вот команда, применявшаяся для создания трех учетных записей пользователя:

Import-CSV -Path C:\data\userlist.csv | New-ADUser -Enabled $true -AccountPassword $pwd

Как можно заметить, выходные строки команды Import-CSV поступают в команду New-ADUser. Конвейер распознает, что заголовки столбца в CSV-файле представляют собой имена параметров, а остальные строки содержат значения, поэтому нужно лишь предоставить параметры -Enabled и –AccountPassword. Это превосходная возможность конвейера. Благодаря ей удается гораздо эффективнее использовать PowerShell для задач автоматизации такого типа.

Управление членством в группах

Добавление учетных записей пользователей и компьютеров - типичная задача управления AD. С помощью модуля AD выполнить ее сравнительно несложно. Используя команду Add-ADGroupMember, можно добавить в группу одну или несколько учетных записей. Например, если нужно добавить трех новых пользователей в группу Marketing Users. Самый простой способ - использовать команду:

Add-ADGroupMember -Identity»Marketing Users«` -Members jadams,tthumb,mtwain

В этой команде параметр -Identity служит для того, чтобы предоставить имя группы. Также применяется параметр -Members для предоставления имен учетных записей SAM пользователей. Если имеется несколько имен учетных записей SAM, то их следует указать в файле с разделителями в виде запятых.

Можно объединить операции создания трех учетных записей и их добавления в группу Marketing Users в одной команде, чтобы решить задачу одним действием. Однако команда Add-ADGroupMember не поддерживает передачу имен членов группы в конвейер. Поэтому необходимо использовать команду Add-ADPrincipalGroupMembership, если требуется задействовать конвейер. Эта команда может принимать объекты пользователя, компьютера или группы как входные из конвейера и добавлять эти объекты в указанную группу.

Соединить операцию создания пользователей с операцией добавления новых пользователей в группу Marketing Users в одной команде можно следующим образом:

Import-CSV -Path C:\data\userlist.csv | New-ADUser -Enabled $true -AccountPassword $pass ` -PassThru | Add-ADPrincipalGroupMembership ` -MemberOf»Marketing Users«

Обратите внимание, что к части New-ADUser команды добавлен параметр –PassThru. Этот параметр указывает New-ADUser, что нужно передать созданные объекты пользователя в конвейер. Если данный параметр не указан, то выполнение команды Add-ADPrincipalGroupMembership завершится неудачей.

Также примечательно, что используется только параметр -MemberOf для указания имени группы в разделе Add-ADPrincipalGroupMembership команды. Конвейер обеспечивает остальное, добавляя каждого из трех пользователей в группу Marketing Users.

Итак, с помощью одной команды PowerShell было создано три новых пользователя, они были размещены в OU, получили пароли и были добавлены в группу Marketing Users. Теперь рассмотрим некоторые другие типичные задачи обслуживания AD, которые можно автоматизировать с использованием PowerShell и модуля AD.

Сброс паролей учетных записей пользователя

Иногда пользователям требуется сбросить пароль учетной записи. Эту задачу легко автоматизировать с помощью команды Set-ADAccountPassword, изменив или сбросив пароль учетной записи. Чтобы изменить пароль, необходимо знать старый пароль и ввести новый. Чтобы сбросить пароль, достаточно предоставить новый пароль. Однако необходимо разрешение Reset Password на объект пользователя в AD, чтобы выполнить сброс пароля.

Как и параметр -AccountPassword команды New-ADUser, команда Set-ADAccountPassword использует тип данных SecureString для паролей, поэтому необходимо задействовать один из методов преобразования простых текстовых паролей в защищенные строки. Например, если нужно сбросить пароль для учетной записи пользователя Tom Thumb, то после сохранения нового пароля как защищенной строки в переменной $pass можно выполнить команду:

Set-ADAccountPassword -Identity»tthumb«` -NewPassword $pass –Reset

В этой команде я использую параметр –Identity, чтобы назначить имя учетной записи SAM для учетной записи пользователя Tom Thumb. Я также ввожу параметр -NewPassword с переменной $pass, чтобы предоставить новый пароль. Наконец, задается параметр –Reset, дабы указать, что выполняется сброс, а не изменение пароля.

Еще одна дополнительная задача: переключить флаг учетной записи пользователя Tom Thumb, чтобы заставить его изменить пароль при следующей регистрации. Это обычный прием, когда нужно сбросить пароль пользователя. Данную задачу можно выполнить с помощью команды Set-ADUser, присвоив параметру -ChangePasswordAtLogon значение $true:

Set-ADUser -Identity tthumb -ChangePasswordAtLogon $true

Возникает вопрос, почему не был использован конвейер для передачи вывода команды Set-ADAccountPassword в команду Set-ADUser, чтобы выполнить обе операции в одной команде PowerShell. Я попробовал этот подход, он не работает. Вероятно, в команде Set-ADAccountPassword есть какое-то ограничение, не позволяющее успешно выполнить единую команду. В любом случае, достаточно просто переключить флаг с использованием команды Set-ADUser, как показано выше.

Поиск объектов Active Directory

Другая типичная задача AD - поиск объектов AD, соответствующих определенным критериям. Например, можно найти все компьютеры с определенной версией операционной системы Windows в домене AD. Команда Get-ADObject - самая удобная для поиска LDAP. Например, чтобы найти компьютеры Server 2008 R2 в домене cpandl.com, была применена команда:

Get-ADObject -LDAPFilter ` »(&(operatingSystem=Windows Server 2008 R2 Enterprise)` (objectClass=computer))«-SearchBase»dc=cpandl,dc=com«` -SearchScope Subtree

Эта команда использует три параметра для выполнения задачи: -LDAPFilter, -SearchBase и -SearchScope. Параметр -LDAPFilter принимает в качестве входного стандартный запрос LDAP. В этом примере запрашиваются все объекты компьютера, у которых атрибут OperatingSystem имеет значение Windows Server 2008 R2 Enterprise. Параметр -SearchBase указывает команде, где начать поиск в иерархии AD. В данном случае выполняется поиск из корневого каталога домена AD, но не составляет труда ограничить поиск определенной OU. Параметр –SearchScope указывает команде, следует ли обходить все контейнеры под базой поиска, обнаруживая указанные объекты. В этом случае используется параметр Subtree, чтобы команда проверяла все нижележащие контейнеры.

При запуске команды отображаются объекты, соответствующие критерию. Или же можно направить результаты в другую команду для обработки найденных объектов.

Обратите внимание, что для масштабных поисков полезно задействовать параметр –ResultPageSize, чтобы управлять разбиением результатов поиска на страницы. Обычно я присваиваю этому параметру значение 1000, и команда Get-ADObject возвращает 1000 объектов за один раз. В противном случае можно не получить ожидаемый результат, так как число возвращаемых объектов превышает максимально предусмотренное политикой, установленной для одного запроса поиска.

Другая команда для поиска, предоставленная компанией Microsoft, - Search-ADAccount. Эта команда особенно полезна для поиска с различными заранее заданными условиями, например отключенных учетных записей, учетных записей с просроченными паролями и блокированных учетных записей. Так, следующая команда отыскивает все учетные записи пользователя с просроченными паролями в OU SDM:

Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase»OU=sdm,dc=cpandl,dc=com«` -SearchScope OneLevel Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase»OU=sdm,dc=cpandl,dc=com" ` -SearchScope OneLevel

В этой команде используется параметр –PasswordExpired, указывающий, что нужны учетные записи с просроченными паролями. Параметр -UsersOnly указывает, что нужно искать только объекты пользователя (то есть исключить объекты «компьютер»). Как в предыдущем примере, используются параметры -SearchBase и –SearchScope, чтобы указать область поиска. Но в данном случае я использую параметр OneLevel для поиска только в ближайшем OU (то есть исключая любые дочерние организационные единицы).

Это лишь поверхностный рассказ о модуле AD, но надеюсь, вы получили представление о заложенных в нем возможностях. Как отмечалось выше, в модуле более 70 команд. Среди тем, которые не были затронуты в статье, - удаление объектов с использованием команды Remove-, восстановление удаленных объектов с помощью команды Restore-ADObject и удаление свойств UAC на объектах пользователя посредством команды Set-ADAccountControl. Существуют команды почти для любых административных задач AD.



После установки Active Directory можно приступить к созданию объектов и управлению ими.

6.5.1. Создание подразделений и объектов в них

6.5.1.1. Создание организационных подразделений (ОП)

ОП можно создать в рамках домена, объекта Domain Controller или другого ОП (рис. 6.3). В созданное ОП можно добавлять объекты.

Для создания ОП необходимо обладать полномочиями по добавлению подразделений в родительское ОП, домен или узел Domain Controller, где будет создаваться ОП. По умолчанию такими полномочиями наделена группа Administrators (Админи-

страторы).

Нельзя создавать ОП в большинстве стандартных контей-

неров, таких как Computers или Users.

Рис. 6.3. ОП Кафедра ОТЗИ в узле Domain Controller

ОП создаются для упрощения администрирования сети. Структура ОП должна основываться на конкретных задачах ад-

министрирования. Вы можете легко изменять структуру ОП или перемещать объекты между ОП.

ОП создаются в следующих случаях:

чтобы предоставить административные полномочия другим пользователям или администраторам;

для группирования объектов, над которыми выполняются сходные административные операции; это облегчает поиск сходных сетевых ресурсов и их обслуживание - так, можно объединить в одном ОП все объекты User для временных служащих;

для ограничения видимости сетевых ресурсов в хранилище Active Directory пользователи увидят только те объекты, к которым имеют доступ; разрешения для ОП можно легко изменить, ограничив доступ к конфиденциальной информации.

6.5.1.2. Добавление объектов в ОП

Для добавления объектов в ОП Вы должны обладать в нем соответствующими полномочиями. По умолчанию такие права предоставлены группе Administrators . Разновидности создаваемых объектов зависят от правил схемы, используемого мастера или оснастки. Некоторые атрибуты объекта можно определить только после его создания.

6.5.2. Управление объектами Active Directory

Управление объектами Active Directory включает поиск объектов, их изменение, уничтожение или перемещение. В двух последних случаях надо иметь соответствующие разрешения для объекта или для ОП, куда Вы перемещаете объект. По умолчанию данными полномочиями обладают все члены группы Administrators .

6.5.2.1. Поиск объектов

Глобальный каталог (ГК) содержит частичную реплику всего каталога и хранит информацию обо всех объектах в дереве доменов или лесе. Поэтому пользователь может найти объект независимо от его расположения в домене или лесе. Содержание ГК автоматически генерируется по сведениям из доменов, составляющих каталог.

Для поиска объектов откройте оснастку , ярлык которой находится в группе программAdministrative Tools . В дереве консоли щелкните правой

кнопкой мыши домен или ОП и выберите в контекстном меню команду Find (Найти). Откроется диалоговое окноFind

(Поиск) (рис. 6.4).

Рис. 6.4. Диалоговое окно Find (Поиск)

Если Вы раскроете контекстное меню объекта Shared folder (Общая папка) и выберете командуFind

(Найти) , будет запущена функция поиска Windows Explorer, и Вы сможете искать в общей папке файлы и подпапки.

Диалоговое окно Find включает параметры поиска в ГК, позволяющие находить учетные записи, группы и принтеры.

6.5.2.2. Изменение значений атрибутов

и удаление объектов

Чтобы изменить значения атрибута, откройте оснастку Ac-

tive Directory Users And Computers и выберите экземпляр объек-

та. В меню Action (Действие) выберите командуProperties (Свойства) . В диалоговом окне свойств объ-

екта измените нужные атрибуты объекта. Затем внесите поправки в описание объекта, например, модифицируйте объект User , чтобы изменить имя, местоположение и электронный адрес пользователя. Если объекты больше не нужны, удалите их в целях безопасности: открыв оснасткуActive Directory Users And

Computers , выделите экземпляр удаляемого объекта, а затем в менюAction (Действие) выберите командуDelete

(Удалить).

6.5.2.3. Перемещение объектов

В хранилище Active Directory можно перемещать объекты, например между ОП, чтобы отразить изменения в структуре предприятия при переводе сотрудника из одного отдела в дру-

гой. Для этого, открыв оснастку Active Directory Users And Com-

puters , выделите перемещаемый объект, в менюAction (Действие) выберите командуMove (Переместить) и

укажите новое местоположение объекта.

6.5.3. Управление доступом к объектам Active Directory

Для контроля доступа к объектам Active Directory применяется объектно-ориентированная модель защиты, подобная модели защиты NTFS.

Каждый объект Active Directory имеет дескриптор безопасности, определяющий, кто имеет право доступа к объекту и тип этого доступа. Windows Server использует дескрипторы безопасности для управления доступом к объектам.

Для упрощения администрирования можно сгруппировать объекты с одинаковыми требованиями безопасности в ОП и назначить разрешения доступа для всего ОП и всех объектов в нем.

6.5.3.1. Управление разрешениями Active Directory

Разрешения Active Directory обеспечивают защиту ресурсов, позволяя управлять доступом к экземплярам объектов или атрибутам объектов и определять вид предоставляемого доступа.

Защита Active Directory

Администратор или владелец объекта должен назначить объекту разрешения доступа еще до того, как пользователи смогут получать доступ к этому объекту. Windows Server хранит список управления доступом (access control list, ACL ) для каждо-

го объекта Active Directory.

ACL объекта включает перечень пользователей, которым разрешен доступ к объекту, а также набор допустимых над объектом действий.

Можно задействовать разрешения для назначения административных полномочий конкретному пользователю или группе в отношении ОП, иерархии ОП или отдельного объекта без назначения административных разрешений на управление дру-

гими объектами Active Directory.

Разрешения доступа к объекту

Зависят от типа объекта - например, разрешение Reset Password допустимо для объектовUser , но не для объектов

Computer.

Пользователь может быть членом нескольких групп с разными разрешениями для каждой из них, обеспечивающих разные уровни доступа к объектам. При назначении разрешения на доступ к объекту члену группы, наделенной иными разрешениями, эффективные права пользователя будут складываться из его разрешений и разрешений группы.

Можно предоставлять или аннулировать разрешения. Аннулированные разрешения для пользователей и групп приоритетнее любых выданных разрешений.

Если пользователю запрещено обращаться к объекту, то он не получит доступ к нему даже как член полномочной группы.

Назначение разрешений Active Directory

Настроить разрешения объектов и их атрибутов позволяет оснастка Active Directory Users And Computers . Назначить раз-

решения также можно на вкладке Security (Безопасность) диалогового окна свойств объекта.

Для выполнения большинства задач администрирования достаточно стандартных разрешений.

Занятие 7. Администрирование Active Directory.

Процесс администрирования Active Directory заключается в управлении:

  • доменами Active Directory;
  • структурой каталога домена;
  • объектами домена (пользователями, контактами, компьютерами, группами, принтерами и т. п.);
  • сайтами и сетями Active Directory;
  • репликацией данных.

Все эти задачи решаются при помощи трех консолей управления, устанавливаемых в процессе установки Active Directory на контроллер домена:

  • Active Directory - домены и доверие
  • Active Directory - пользователи и компьютеры
  • Active Directory - сайты и службы

На другие компьютеры домена эти консоли могут быть установлены в составе пакета административных утилит.

Описание объектов Active Directory.

Все консоли управления Active Directory используют единый набор значков для отображения объектов каталога. Ниже представлены все основные объекты Active Directory и соответствующие им значки. Эта информация поможет вам легче ориентироваться в каталоге Active Directory.

Active Directory

Представляет каталог Active Directory в целом. В инструментах управления практически не встречается, за исключением окон поиска и выбора объектов

Представляет домен Windows. Позволяет управлять глобальными параметрами домена

Контейнер, папка

Представляет простой контейнерный объект. Такие объекты могут создаваться только операционной системой и обычно генерируются при установке Active Directory

Организационное подразделение

Представляет ОП. Этот контейнерный объект служит для построения иерархии контейнеров, содержащих другие объекты

Пользователь

Представляет учетную запись пользователя. Объект содержит большое количество атрибутов, описывающих пользователя

Представляет пользователя - не члена домена. Контакты используются для хранения в каталоге информации о внешних пользователях, не являются учетными записями и не позволяют пользователям регистрироваться в домене

Представляет группу пользователей и обычно используется для упрощения управления разрешениями и привилегиями

Компьютер

Представляет одиночный компьютер в локальной сети. Для компьютеров под управлением Windows NT, 2000 и более поздних версий Windows, является учетной записью компьютера. Объект содержит основные сведения о компьютере и позволяет управлять им

Контроллер домена

Представляет отдельный контроллер домена Windows. В оснастке Active Directory - пользователи и компьютеры контроллеры домена отображаются такими же значками, что и обычные компьютеры. Указанный значок используется для отображения контроллеров домена в оснастке Active Directory - сайты и службы. Позволяет управлять параметрами контроллера домена

Представляет сетевой принтер. Объект является ссылкой на принтер, предоставленный в общий доступ. Объекты этого типа могут добавляться в каталог как вручную, так и автоматически. Ручное добавление возможно только для принтеров, подключенных к компьютерам под управлением более ранних версий, чем Windows 2000

Общий ресурс

Представляет общую папку. Объект является ссылкой на общий сетевой ресурс и не содержит никаких данных

Параметры лицензирования

Представляет глобальные параметры лицензирования сайта. Позволяет централизованно управлять лицензиями на программные продукты и их репликацией в пределах сайта

Доменная политика

Представляет объект доменной политики. Позволяет настраивать параметры политики уровня домена

Политика контроллера домена

Представляет объект политики контроллера домена. Позволяет настраивать параметры политики для всех контроллеров домена

Групповая политика

Представляет произвольный объект групповой политики. Позволяет управлять параметрами политики для объектов того контейнера, к которому применена

Представляет отдельный сайт Active Directory. Позволяет управлять его параметрами. Содержит ссылки на объекты контроллеров доменов, связи сайтов, параметры сайта

Соединение

Представляет соединение между контроллерами доменов в пределах сайта. Позволяет управлять топологией и параметрами репликации между контроллерами домена внутри сайта

Связь сайтов

Представляет отдельную связь между сайтами. Позволяет управлять топологией и параметрами межсайтовой репликации

Параметры сайта

Представляет объект конфигурации сайта или контроллера домена в сайте. Позволяет управлять параметрами репликации всего сайта или параметрами взаимодействия контроллера домена с сайтом

Представляет отдельную подсеть, связанную с определенным сайтом. Позволяет указать границы IP-сети

Значок

Объект

Описание



Предыдущая статья: Следующая статья:

© 2015 .
О сайте | Контакты
| Карта сайта