Установка нового дочернего объекта active directory или домена дерева в windows server 2012 (уровень 200)

Вопросы и ответы

Дополнительные сведения относительно понижения и удаления AD.

1. Как удалить дочерний домен?

Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.

2. Как понизить режим работы домена?

Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.

3. Что делать, если умер основной контроллер домена?

Рассмотрим несколько вариантов:

  • Если есть резервная копия, восстанавливаемся из нее.
  • Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
  • Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.

4. Что делать, если контроллер домена возвращает ошибку при понижении?

Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:

dcpromo /forceremoval

Рекомендации по решению для событий и средств

В идеале события Red (Error) и Yellow (Warning) в журнале событий службы каталогов предполагают определенное ограничение, вызывающее сбой репликации на исходном или целевом контроллере домена. Если в сообщении о событии указаны шаги для решения проблемы, попробуйте выполнить действия, описанные в этом сообщении о событии. Средство Repadmin и другие средства диагностики также предоставляют сведения, которые могут помочь при устранении сбоев репликации.

Подробные сведения об использовании средства Repadmin для устранения неполадок, связанных с репликацией, см. в разделе мониторинг и устранение неполадок Active Directory репликации с помощью repadmin.

Инструкции ADSIEdit

Предупреждение

Если вы используете ADSI (Интерфейсы службы active Directory) Изменить привязку, утилиту LDP или любой другой клиент версии LDAP (Облегченный протокол доступа к каталогу) и неправильно изменить атрибуты объектов Active Directory, вы можете вызвать серьезные проблемы. Эти проблемы могут потребовать переустановки Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 или Windows и Exchange. Корпорация Майкрософт не может гарантировать, что проблемы, которые возникают при неправильном изменении атрибутов объектов Active Directory, могут быть решены. Измените эти атрибуты на свой собственный риск.

  1. Вставьте Windows cd сервера 2000.

  2. Перейдите к каталогу.

  3. Дважды щелкните по Support.cab файлу.

  4. Найдите файлы adsiedit.msc и adsiedit.dll. Извлеките их в каталог.

  5. Запуск regsvr32 adsiedit.dll.

  6. Запустите консоль управления Майкрософт (MMC), а затем добавьте оснастку ADSI Edit.

  7. Щелкните правой кнопкой мыши верхний узел и выберите Подключение .

  8. Измените контекст именования на контейнер конфигурации, а затем выберите ОК для привязки и проверки подлинности.

  9. Расширь узел Контейнер конфигурации, а затем расширь узел Конфигурация.

  10. Размести узел cn=DisplaySpecifiers, а затем дважды щелкните CN=409.

    Примечание

    409 — это локальный ID для английского языка США. Если вы находитесь в многоязычной среде, может потребоваться внести изменения в другие коды. Большинство азиатских кодов уже за установлены.

    Международный союз электросвязи (МСЭ) и Международная организация по стандартизации (ISO) определяют страницы кода. Дополнительные сведения можно получить на веб-страницах МСЭ

  11. В правой области откройте свойства для CN=user-Display.

  12. Прокрутите в необязательный свойство createDialog.

  13. Установите атрибут %< sn>.%<givenName >. Убедитесь, что вы выбрали Set.

    Примечание

    Только маркеры, которые могут быть отформатированы в dislayName% <sn> , % и % <givenName> <initials> .

  14. Выберите ОК, чтобы закрыть диалоговое окно.

  15. В Active Directory Пользователи и компьютеры создайте нового пользователя; Полное имя (и, таким образом, имя отображения) строится в соответствии с вашим правилом.

Внесение этих изменений может иметь негативные последствия.

Создание объекта групповой политики

Чтобы создать объект групповой политики (GPO), чтобы изменить имена администраторов и гостевых учетных записей:

  1. Запустите оснастку пользователей и компьютеров Active Directory. Для этого нажмите кнопку Начните, указать на все программы, указать административные средства, а затем нажмите кнопку Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой мыши домен или подразделение организации, в котором необходимо создать групповую политику, а затем нажмите кнопку Свойства.
  3. Щелкните вкладку Групповой политики и нажмите кнопку New.
  4. Введите имя, которое необходимо использовать для этой политики. Например, введите учетные записи администратора и гостя и нажмите кнопку ENTER.
  5. Нажмите кнопку Закрыть.

Предварительные требования

Перед тем как начать переименовывать свой домен обязательно примите во внимание следующие сведения:

Функциональный уровень леса Active Directory. Выполнять задачи по переименованию доменов можно лишь в том случае, если все домены в лесу оснащены как минимум операционной системой Windows Server 2003 (в этом случае по редакциям нет никаких ограничений). Более того, функциональный уровень должен быть повышен по меньшей мере до уровня Windows Server 2003. То есть, если у вас в лесу выбран функциональный уровень Windows Server 2000, то выполнение следующей операции попросту станет невозможным;

Расположение домена. В лесу Active Directory может быть разный уровень доменов. То есть, могут быть либо отдельный домен, либо лес может включать дочерние домены. В том случае если вы будете менять расположение контроллера домена внутри леса, вам придется создать доверительные отношения;

Зона DNS. Еще до выполнения операции переименования домена вам необходимо создать новую зону DNS;

Административные учетные данные. Для выполнения операции переименования домена вы должны выполнить вход в систему под административной учетной записью, которая является членом группы администраторов предприятия (Enterprise Admins);

Серверы распределенной файловой системы (DFS)

Если в вашей корпоративной среде развернуты службы DFS или настроены перемещаемые профили, то обратите внимание на то, что корневые DFS-серверы должны работать, как минимум, под управлением операционной системы Windows Server 2000 с пакетом обновления 3 или под более современными версиями операционных системам;

Несовместимость с серверами Microsoft Exchange. Самый неприятный момент заключается в том, что если в вашем лесу Active Directory развернут почтовый сервер Microsoft Exchange Server 2003 Service Pack 1, то переименование домена будет выполнено без каких-либо проблем, но учетная запись пользователя, под которой будет выполняться сам процесс переименование домена должна быть членом группы Full Exchange Administrator

Все более современные почтовые серверы (включая Exchange Server 2016) несовместимы с операциями переименования доменов.

Также обратите внимание на тот факт, что на время переименования домена вы должны заморозить все предстоящие операции по конфигурации леса Active Directory. Другими словами, вы должны удостовериться в том, что конфигурация вашего леса не изменится до тех пор, пока операция по переименованию домена не будет полностью завершена (подробную информацию о выполнении этого действия вы увидите ниже)

К таким операциям можно отнести: создание или удаление доменов внутри вашего леса Active Directory, создание или удаление разделов каталога приложений, добавление или удаление контроллеров домена в лесу, создание или удаление установленного напрямую доверия, а также добавление или удаление атрибутов, которые будут реплицированы в глобальный каталог.

На всякий случай я бы еще вам посоветовал сделать полную резервную копию состояния системы на каждом контроллере домена в лесу Active Directory

В случае выполнения этой задачи, данная предосторожность точно не будет лишней

В том случае, если ваша инфраструктура соответствует выше упомянутым требованиям и сделаны все требуемые резервные копии, вы можете приступать к процессу переименования домена.

Основные причины

при истечении преднамеренных отключений, сбоев оборудования и устаревших контроллеров домена Windows 2000, в оставшейся части проблем репликации почти всегда есть одна из следующих причин:

  • Подключение к сети. возможно, сетевое подключение недоступно или параметры сети настроены неправильно.
  • Разрешение имен. Неправильные настройки DNS являются распространенной причиной сбоев репликации.
  • Проверка подлинности и авторизация. проблемы проверки подлинности и авторизации приводят к ошибкам «отказано в доступе», когда контроллер домена пытается подключиться к участнику репликации.
  • База данных каталогов (хранилище). возможно, база данных каталогов не может быстро обрабатывать транзакции, чтобы поддерживать время ожидания репликации.
  • Механизм репликации. Если расписания межсайтовой репликации имеют слишком короткие промежутки времени, очереди репликации могут быть слишком большими для обработки в течение времени, необходимого для соблюдения расписания исходящих данных репликации. В этом случае репликация некоторых изменений может быть остановлена неограниченное время, достаточно долго для превышения времени существования захоронения.
  • Топология репликации. контроллеры домена должны иметь межсайтовые ссылки в AD DS, которые сопоставляются с сетями глобальной сети (WAN) или виртуальными частными сетями (VPN). При создании объектов в AD DS для топологии репликации, которые не поддерживаются топологией фактического сайта вашей сети, репликация с неправильно настроенной топологией завершается сбоем.

Пример делегирование административных полномочий

«Поддержка»

Для начала следует на контроллере домена открыть оснастку «Active Directory – пользователи и компьютеры». Здесь необходимо создать глобальную группу безопасности, члены которой смогут присоединять компьютеры пользователей к домену. Другими словами, эта группа будет выглядеть следующим образом:Рис. 1. Свойства группы, отвечающей за присоединение компьютеров к домену

Следующим делом необходимо указать, что компьютеры присоединять к домену могут только лишь пользователи, входящие в созданную на предыдущем этапе глобальную группу безопасности. Для этого следует открыть оснастку «Управление групповой политикой» и перейти к редактору GPME для созданного по умолчанию объекта GPO «Default Domain Controllers Policy», который располагается в подразделении «Domain Controllers».
В отобразившейся оснастке следует перейти к узлу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей» и локализовать параметр политики, который называется «Добавление рабочих станций к домену». Открыв диалоговое окно данного параметра политики, вы сразу сможете обнаружить, что по умолчанию там указана группа «Прошедшие проверку», благодаря которой присоединять компьютеры к домену может каждый пользователь. Теперь, для того, чтобы разрешить присоединять к домену компьютеры только пользователям из группы безопасности «Поддержка», следует удалить группу, указанную в этом параметре политики по умолчанию, а затем при помощи кнопки «Добавить пользователя или группу» и диалога поиска объектов Active Directory, следует добавить созданную ранее глобальную группу безопасности. Процесс добавления такой группы изображен на следующей иллюстрации:Рис. 2. Изменение группы, отвечающей за присоединение компьютеров к домену

Теперь несмотря на то, что немного ранее было описано, в каких сценариях выполняется делегирование, и что в большинстве случаев делегирование выполняется на уровне подразделений, в данном случае для предоставления возможности присоединения компьютеров к домену, нам следует в оснастке «Active Directory – пользователи и компьютеры» вызвать мастер делегирования непосредственно для уровня всего домена. Следовательно, в оснастке «Active Directory – пользователи и компьютеры» необходимо в области дерева самой оснастки вызвать контекстное меню для домена и выбрать опцию «Делегирование управления», как показано ниже:Рис. 3. Вызов мастера делегирования управления

На первой странице мастера можно просто ознакомиться с основной задачей данного средства и, ввиду того, что на первой странице нельзя выполнять какие-либо действия, следует просто нажать на кнопку «Далее». На второй странице мастера, странице «Пользователи и группы», нужно локализовать группу, для которой необходимо делегировать управление. В данном примере следует нажать на кнопку «Добавить» и при помощи соответствующего диалога выбрать группу «Поддержка», как показано на следующей иллюстрации:Рис. 4. Добавление группы, для которой выполняется делегирование управления
После того, как группа будет добавлена, для перехода к следующей странице мастера следует нажать на кнопку «Далее».
Страница «Делегируемые задачи» позволяет вам определить конкретные операции, которые должны выполнять в доменных службах Active Directory пользователи или группы пользователей, которые были добавлены на предыдущей странице мастера. Так как в данном примере делегируется задача присоединения компьютеров к домену и такую задачу можно найти в предоставленном списке распространенных задач, следует напротив задачи «Присоединение компьютера к домену» установить флажок и нажать на кнопку «Далее»

Стоит обратить внимание на то, что данный мастер позволяет делегировать не только те задачи, которые фигурируют в данном списке, и в том случае, если вы не смогли здесь сразу найти конкретную задачу, нужно будет создавать особую задачу для делегирования. Создание особой задачи будет показано далее в этой статье, а делегирование задачи присоединения компьютера к домену изображено на следующей иллюстрации:Рис

5. Делегирование задачи присоединения компьютеров к домену для членов группы «Поддержка»

На последней странице мастер повторно проинформирует о том, что работа мастера была успешно выполнена и определенной группе пользователей было передано управление для присоединения компьютеров к домену, что, собственно, и являлось поставленной перед нами задачей:Рис. 6. Завершение процесса делегирования управления

«Поддержка»

Структура OU в Active Directory

В небольших инфраструктурах AD (20-50 пользователей) необязательно создавать новые OU, можно все складывать в дефолтные контейнеры в корне (Users и Computer). В большой инфраструктуре желательно разделить все объекты на разные контейнеры. В основном используется иерархический дизайн Organizational Unit в AD, по географическому или функциональному принципу.

К примеру, у вашей организация имеются подразделения в разный странах и городах. Было бы логично на верхнем уровне домена создать отдельные контейнеры для каждой страны, а внутри страны отдельные контейнеры для города / региона / области. Внутри последних можно создать отдельные контейнеры для администраторов, групп, компьютеров, серверов и пользователей (см скриншот). При необходимости вы можете добавить дополнительные уровни иерархии (здания, отделы и т.д.). С такой иерархией вы сможете гибко делегировать полномочия в AD и назначать групповые политики.

Как переименовать встроенную учетную запись Администратора

Если при установке Windows попробовать создать учетную запись Администратор, или Гость, система сделать этого не даст, так как уже имеются встроенные учетные записи Windows имеющие такое же имя.

Учетная запись Администратора не предназначена для постонной работы с системой, а только для случаев, когда нужно установить программу, или настроить другие критические для работы системы компоненты. Вы конечно в дальнейшем можете включить и использовать учетную запись Администратор, но делать это я категорически не рекомендую, так как это создает огромную проблему в системе безопасности Windows – стоит только подцепить какой-либо вирус и он сможет расползтись не только по вашему профилю, но и по всей системе, со всеми вытекающими из этого печальными последствиями.

Как называть нельзя

Single-Label Domain Name

Этот частный случай именования домена получается, когда ему дают DNS-имя какdomain (без точек). Отсюда и следует название такого способа именования домена Active Directory, как Single-Label. Чем плох такой способ? Тем, что полностью противоречит самой идеологии DNS, от которой зависит Active Directory. Компьютеры, включенные в такой однокомпонентный домен, требуют настройки для регистрации и разрешения в DNS-зонах с однокомпонентными именами. Windows Server 2008 выдает предупреждение при попытке создать такой домен Active Directory, а начиная с Windows Server 2008 R2 мастер dcpromo.exe заблокирует попытку создания Single-Label домена. Большинство приложений также не работают с таким типом доменов Active Directory, например Exchange Server. Более подробно о Single-Label доменах можно прочитать в статье базы знаний Microsoft.

Недопустимые символы в имени домена

Функционирование Active Directory целиком зависит от службы DNS, поэтому если в имени домена будут запрещенные символы, то нормальная работа такого домена будет невозможна. К таким символам, например,  относятся: двоеточие ( : ), слэш ( / ) и бэк-слэш ( \ ), знак номера ( # ), собачка ( @ ), тильда ( ~ ). Так же, согласно RFC 1123, не следует использовать в имени домена знак подчеркивания ( _ ). Это сулит большие проблемы, например, нельзя установить Exchange Server 2007 и выше. Единственные символы, которые можно использовать в имени домена Active Directory это буквы, цифры, знак тире ( — ) и точка ( . ), но она не может стоять в начале или в конце имени домена. Новые версии Windows Server не позволят вам дать имя домену если оно не соответствует стандарту.

Using Repadmin to retrieve replication status

Состояние репликации — это важный способ оценить состояние службы каталогов. Если репликация работает без ошибок, то вы узнаете, что контроллеры домена находятся в сети. Вы также узнаете, что работают следующие системы и службы:

  • Инфраструктура DNS
  • Протокол проверки подлинности Kerberos
  • Windows Служба времени (W32time)
  • Удаленный вызов процедур (RPC)
  • Возможность подключения к сети

Используйте средство Repadmin для мониторинга состояния репликации ежедневно, выполнив команду, которая оценивает состояние репликации всех контроллеров домена в лесу. процедура создает файл .csv, который можно открыть в Microsoft Excel и фильтровать для сбоев репликации.

Для получения состояния репликации всех контроллеров домена в лесу можно использовать следующую процедуру.

Требования

Для выполнения данной процедуры требуется как минимум членство в группе Администраторы предприятия или в эквивалентной группе.

Средства:

  • Repadmin.exe
  • Excel (Microsoft Office)

Создание электронной таблицы repadmin/шоврепл для контроллеров домена

  1. откройте командную строку от имени администратора: на меню щелкните правой кнопкой мыши пункт командная строка и выберите команду запуск от имени администратора. если откроется диалоговое окно контроль учетных записей пользователей, укажите Enterprise учетные данные администратора, если это необходимо, а затем нажмите кнопку продолжить.

  2. В командной строке введите следующую команду и нажмите клавишу ВВОД:

  3. Откройте Excel.

  4. нажмите кнопку Office, нажмите кнопку открыть, перейдите к showrepl.csv и нажмите кнопку открыть.

  5. Скройте или удалите столбец A, а также столбец Тип транспорта следующим образом:

  6. Выберите столбец, который необходимо скрыть или удалить.

    • Чтобы скрыть столбец, щелкните правой кнопкой мыши столбец и выберите команду Скрыть.
    • Чтобы удалить столбец, щелкните правой кнопкой мыши выбранный столбец и выберите команду Удалить.
  7. Выберите строку 1 под строкой заголовка столбца. На вкладке Вид нажмите кнопку Закрепить области, а затем нажмите кнопку закрепить верхнюю строку.

  8. Выделите всю электронную таблицу. На вкладке Данные нажмите кнопку Фильтр.

  9. В столбце время последнего успешного выполнения щелкните стрелку вниз и выберите Сортировать по возрастанию.

  10. В столбце Исходный контроллер домена щелкните стрелку вниз, выберите Текстовые фильтры, а затем щелкните настраиваемый фильтр.

  11. В диалоговом окне Пользовательский автофильтр в разделе Показывать строки, где щелкните не содержит. В соседнем текстовом поле введите, чтобы исключить из окна Просмотр результатов для удаленных контроллеров домена.

  12. Повторите шаг 11 для столбца время последнего сбоя, но используйте значение не равно, а затем введите значение 0.

  13. Устранение ошибок репликации.

Для каждого контроллера домена в лесу в электронной таблице отображается исходный партнер репликации, время последней репликации и время последнего сбоя репликации для каждого контекста именования (раздела каталога). используя автофильтр в Excel, можно просматривать работоспособность репликации только для рабочих контроллеров домена, только для неудачных контроллеров домена или контроллеров домена, которые являются минимальными или самыми последними, и вы можете увидеть, что репликация успешно выполнена.

Примечания.

  • В инструкциях покажите, как изменять объекты пользователей. Существует отдельный параметр Для контактов — изменение шага 11 на «contact-Display».
  • Вам не нужно закрывать привязку Пользователей и Компьютеры; изменения подбираются автоматически.
  • В средах контроллера с несколькими доменами может потребоваться дождаться завершения репликации, прежде чем пользовательский интерфейс подберет изменения.

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не гарантирует точность этих сторонних контактных данных.

Оглавление

8. Групповые политики

9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы

10. Настройка траста и сайта доменов

11. Другие службы и роли Active Directory

12. Настройка Samba (Active Directory для Linux)

13. Инструменты для аудита безопасности Active Directory

С теоретической точки зрения, порядок глав должен быть немного иным: перед изучением присоединения к домену нужно изучить иерархию Active Directory, инструменты создания и управления пользователями, группами. Поверьте мне, в этом теоретическом материале можно крепко завязнуть… При том, что в практическом плане нам достаточно на сервере создать пользователя домена в графическом интерфейсе и, по сути, всё готово для подсоединения к домену! Поэтому мы чуть забежим вперёд и подсоединимся к домену, а затем окунёмся в теорию — она уже будет привязанной к некоторому практическому опыту взаимодействия с Active Directory и нам будет проще в ней разобраться.

Настройка DNS сервера на рабочих станциях

Многие протоколы Active Directory сильно зависят от DNS сервера, поэтому вряд ли получится использовать сторонний DNS сервер (например, BIND). Мы уже настроили в Windows Server роль DNS, то есть фактически запустили DNS сервер. Теперь нужно сделать так, чтобы рабочие станции использовали IP адрес Windows Server в качестве DNS сервера.

Также смотрите: Введение в DNS терминологию, компоненты и концепции

Рассмотрим, как изменить настройки DNS сервера разными способами. Вам нужно выбрать один из подходящих для вас вариантов.

В моей установке Active Directory компьютер с DNS сервером (контроллер домена) имеет IP адрес 192.168.1.60. Следовательно, моя задача установить данный IP адрес в качестве первичного DNS сервера. В качестве вторичного DNS сервера вы можете выбрать любой другой.

Как настроить DNS сервер на Windows 10

Нажмите на иконку «Доступ к Интернету», затем кликните на имени вашего сетевого подключения:

Нажмите на «Настройка параметров адаптера»:

(Другой быстрый способ попасть сюда, это набрать в командной строке «control netconnections» или «control ncpa.cpl»).

Кликните правой кнопкой по адаптеру, настройки которого вы хотите изменить, и в открывшемся контекстном меню выберите «Свойства».

Выберите «IP версии 4 (TCP/IPv4)» и нажмите кнопку «Свойства».

Выберите «Использовать следующие адреса DNS-серверов» и введите IP.

Когда всё будет готово нажмите «ОК» и закройте окна.

Как настроить DNS сервер в Windows Admin Center

Перейдите на вкладку «Сети» и выберите сетевой адаптер, настройки которого вы хотите изменить и нажмите кнопку «Параметры».

Перключите на «Используйте следующие адреса DNS-сервера», введите желаемые настройки DNS адреса и нажмите кнопку «Сохранить».

Как настроить DNS сервер в PowerShell

Если вы хотите указать один DNS сервер, то используйте команду вида:

Set-DnsClientServerAddress -InterfaceIndex 6 -ServerAddresses IP_DNS

Для указания двух DNS серверов используйте синтаксис:

Set-DnsClientServerAddress -InterfaceIndex ИНДЕКС_ИНТЕРФЕЙСА -ServerAddresses ("IP_DNS_1","IP_DNS_2")

Например:

Set-DnsClientServerAddress -InterfaceIndex ИНДЕКС_ИНТЕРФЕЙСА -ServerAddresses ("192.168.1.60","127.0.0.1")

Как проверить настройки DNS в Windows

Чтобы убедиться, что DNS сервер работает и что в качестве DNS используется именно контроллер домена, выполните команду:

nslookup suip.biz

Мы получили IP адрес этого сайта — это означает, что DNS сервер работает. Строка «Address: 192.168.1.60» содержит IP адрес DNS сервера, как мы можем убедиться, это контроллер домена.

Следующая команда выведет IP адрес Домена:

nslookup IP_ДОМЕНА

Например:

nslookup ds.hackware.ru

Строки с Addresses содержат в том числе и локальный IP адрес домена:

Addresses:  fd28:62f2:dde3:0:f46c:b244:b1c3:9613
          192.168.1.60

Если вы хотите обойтись исключительно средствами PowerShell и не использовать стороннюю утилиту, то проверить настройки DNS сервера, а также узнать IP адрес домена вы можете следующими командами:

Get-DnsClientServerAddress
Resolve-DnsName ds.hackware.ru

Зачем менять имя учетной записи Администратор

Зачем менять имя учетной записи Администратор? Ничего тут секретного нет – для того, чтоб повысить безопасность системы. Предположим, что вы попали в поле зрения злостных хакеров

Для того, чтоб получить доступ к вашей системе, не важно, по сети, или локально, им потребуется знать две вещи, а именно: имя пользователя и пароль. Все версии Windows имеют встроенную учетную запись Администратор, которая и является заветной целью хакера

Для того, чтоб усложнть его жизнь и не дать возможности завладеть доступом к вашей системе, можно дать пользователю Администратор другое имя, например Одменестрад0р – хакеру придется сперва угадать имя пользователя, а затем его пароль.

Как создать группу в Active Directory

  • Группа Безопасности – как видно из названия эта группа относиться к безопасности, т.е. она управляет безопасностью. Она может дать права или разрешение на доступ к объектам в AD.
  • Группа распространения – отличается от группы безопасности тем, что находящимся в этой группе объектам нельзя дать права, а эта группа чаще всего служит для распространения электронных писем, часто используется при установке Microsoft Exchange Server.

Теперь поговорим об области действий групп. Под областью действий понимается диапазон применения этой группы внутри домена.

Глобальная группа – она глобальна тем, что может предоставить доступ к ресурсам другого домена, т.е. ей можно дать разрешения на ресурс в другом домене. Но в нее можно добавить только те учетные записи, которые были созданы в том же домене что и сама группа. Глобальная группа может входить в другую глобальную группу и в локальную группу тоже. Ее часто называют учетной, так как в нее обычно входят учетные записи пользователей.

Локальная группа – она локальна тем, что предоставляет доступ к ресурсам только того домена, где она была создана, т.е. предоставить доступ к ресурсам другого домена она не может. Но в локальную группу могут входить пользователи другого домена. Локальная группа может входить в другую локальную группу, но не может входить в глобальную. Ее часто называют ресурсной, так как ее часто используют для предоставления доступа к ресурсам.

Универсальная группа – в нее могут входить все, и она может, предоставляет доступ всем.

Другими словами вы учетные записи пользователей добавляете в глобальные группы, а глобальные группы добавляете в локальные группы, а локальным группам предоставляете доступ к ресурсам. Организовать такую стратегию на предприятие позволит вам намного упростить управление правами и разрешениями (удобство, сокращение времени на изменение прав и разрешений). Не зря глобальные группы называют учетными, а локальные ресурсными.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-02

Теперь, когда вы больше стали понимать, что это такое и с чем это едят, давайте создадим с вами группу безопасности. Для этого щелкаем правым кликов в нужном контейнере тлт OU и выбираем создать > группу или сверху есть значок с человечками.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-03

После чего мы видим область действия и типы группы, пишем название группы, старайтесь максимально подробно и осмысленно выбирать название группы, у вас в компании должны быть разработаны стандарты именования в Active Directory.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-04

После того как группа создалась кликнете по ней двойным щелчком. Откроются свойства группы. Давайте пробежимся по вкладкам. Советую сразу написать Описание, может потом сильно сэкономить время.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-05

Вкладка Члены группы, показывает группы или пользователей которые являются членами данной группы. Как мы видим пока никого нету, давайте добавим пользователя, для этого щелкаем кнопку добавить и пишем в поисковой строке его параметры имя или

Через поиск находим нужного пользователя.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-07

Все Иванов Иван Иванович, теперь является членом группы.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-08

Вкладка Член групп, показывает в какие группы входит данная группа. Может объединяющей группе пользователей давать права для примера, у меня в организации есть программисты, и им нужен сервер VPN, для удаленного подключения, так они состоят в группе разработчики, которая уже является часть группы vpn пользователи.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-09

Вкладка Управляется, нужна для того чтобы делигировать например руководителю менеджеров права на добавление нужных ему людей в его группу, в российских реалиях почти не используется.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-10

Также еще пользователя можно добавить в группу правым кликом по нему и выбрать пункт добавить в группу, полезно при массовом действии.

Материал сайта Pyatilistnik.org

Последствия присоединения к Домену Active Directory

В самой первой части уже описаны некоторые из последствий присоединения компьютера к Домену. Остановимся на этом чуть подробнее, чтобы вам в дальнейшем не пришлось переустанавливать ОС на рабочей станции чтобы покинуть домен и чтобы не потерять важные для вас файлы.

1. DNS настройки

Рабочая станция должна использовать Контроллер домена в качестве DNS сервера. Поэтому если вы включаете рабочую станцию когда Контроллер домена недоступен (офлайн), это может привести к проблемам с сетевыми подключениями.

2. Выход из домена

На рабочей станции должна иметься учётная запись локального администратора, при выходе запрашивается логин и пароль пользователя домена, имеющего полномочия на отсоединение от домена!

3. Пользовательские файлы

В зависимости от настроек пользователя, созданные пользователем домена файлы могут храниться как на локальной рабочей станции, так и на сервере.

В общем, если вы настраиваете тестовое окружение Active Directory и подсоединяете к домену свой рабочий компьютер, то прежде чем удалить тестовое окружение, выполните выход из домена, иначе впоследствии вы можете столкнуться с трудностями.

Изменение подразделения AD

Иногда вам нужно изменить OU. Вот как это сделать тремя различными способами.

Изменение подразделения с помощью Active Directory Administrative Center

Откройте Active Directory Administrative Center (dsac.exe). Переключитесь в режим просмотра дерева и найдите OU, которую вам нужно изменить.

Щелкните на нем правой кнопкой мыши и выберите «Properties:». Измените свойства, которые вам нужны. Например, вы можете изменить описание или добавить менеджера.

Снимите флажок с параметра «Защищен от случайного удаления» и нажмите OK.

Изменение подразделения с помощью командной строки

Для того чтобы изменить OU, необходимо использовать dsmod.exe в cmd от имени администратора. Но в этом случае вы можете изменить только описание.

Здесь мы назначаем » New Description » для TestOU.

Изменение подразделения с помощью Windows PowerShell

Команда Set-ADOrganizationalUnit используется для изменения OU. Она очень мощная, в отличие от dsmod.exe. Вы можете легко изменить множество параметров OU, таких как DistinguishedName, LinkedGroupPolicyObjects или ManagedBy. Вот пример того, как изменить параметр ManagedBy в OU:

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:

В открывшемся окне нажимаем на Изменить:

И переводим компьютер в рабочую группу:

* в данном примере в группу с названием WORKGROUP.

Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.

Если все сделано верно, мы должны увидеть окно:

После перезагружаем сервер или выключаем его.

Powershell

Запускаем Powershell от имени администратора и вводим:

Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose

* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.

Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
 администратора. Вы хотите продолжить?
Да — Y   Нет — N   Приостановить — S   Справка (значением по умолчанию является «Y»): Y

Перезагружаем компьютер:

shutdown -r -t 0

… или выключаем:

shutdown -s -t 0

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Ваша ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: