Все опции: GPResult
GPResult отображает результирующую политику (RSoP) для указанного пользователя и компьютера.
Использование:
GPRESULT [/S [/U ]] [/R | /V | /Z] [(/X | /H) ]
Список параметров:
/S <система> Подключаемый удаленный компьютер. /U <пользователь> Указание пользовательского контекста, в котором должна выполняться эта команда. Нельзя использовать с /X и /H. /P [] Пароль для этого пользовательского контекста. Запрос данных, если они не указаны. Невозможно использовать с /X и /H. /SCOPE <область> Определение области отображения данных: параметры пользователя или компьютера. Допустимые значения: "USER", "COMPUTER". /USER <пользователь> Пользовательский контекст, для которого следует отображать данные RSoP. /X <имя_файла> Сохранение отчета в XML-формате в расположении и с именем файла, заданным параметром <имя_файла>. (Допустимо в Windows Vista с пакетом обновления 1 (SP1) и выше, а также в Windows Server 2008 и выше) /H <имя_файла> Сохранение отчета в HTML-формате в расположении и с именем файла, заданным параметром <имя_файла>. (Допустимо в Windows Vista с пакетом обновления 1 (SP1) и выше, а также в Windows Server 2008 и выше) /F Указывает программе Gpresult перезаписать файл с именем, указанным в команде /X или /H. /R Отображение сводных данных RSoP. /V Отображение подробной информации. Подробная информация содержит сведения о параметрах, примененных с приоритетом 1. /Z Отображение сверхподробной информации. Сверхподробная информация содержит сведения о параметрах, примененных с приоритетом 1 и выше. Это позволяет увидеть, не был ли параметр задан одновременно в нескольких местах. Более подробная информация приведена в справке по групповой политике. /? Вывод справки по использованию.
Примеры запуска GPRESULT:
GPRESULT /R GPRESULT /H GPReport.html GPRESULT /USER targetusername /V GPRESULT /S system /USER targetusername /SCOPE COMPUTER /Z GPRESULT /S system /U username /P password /SCOPE USER /V
Отчёт RSoP HTML с использованием GPResult
GPResult также может генерировать HTML-отчёт о применённых результирующих политиках (доступно в Windows 7 и выше). Этот отчёт содержит подробную информацию обо всех системных настройках, которые задаются групповыми политиками, и названиями определённых объектов групповой политики, которые их установили (по своей структуре этот отчёт напоминает вкладку Настройки в Консоли управления групповыми политиками — gpmc.msc) . Вы можете сгенерировать HTML-отчет GPResult, используя команду:
GPResult /h c:\PS\gpo-report.html /f
Чтобы сгенерировать отчёт и автоматически открыть его в браузере, выполните следующую команду:
GPResult /h GPResult.html & GPResult.html
HTML-отчет gpresult содержит довольно много полезной информации: вы можете увидеть ошибки, возникшие во время применения объектов групповой политики, время обработки (в мс) для определённых политик и CSE (в разделе Computer Details → Component Status section («Сведения о компьютере» → «Состояние компонента»)). Как видите, этот HTML-отчёт gpresult намного удобнее для анализа применяемых политик, чем rsop.msc.
Ссылки
Дополнительные сведения см. в статьях:
- Роли FSMO Active Directory в Windows
- Размещение и оптимизация FSMO в контроллерах домена Active Directory
- Гибкий единый процесс переноса и захвата единой операции
- HOW TO. Использование Ntdsutil для поиска и очистки дублирующих идентификаторов безопасности в Windows Server
- Устранение неполадок DNS Event ID 4013: сервер DNS не смог загрузить зоны DNS, интегрированные в AD
- Понижение DCPROMO не удается, если не удается связаться с мастером инфраструктуры DNS
- Роли FSMO
- Выполнение начального восстановления
- Восстановление леса AD — захват роли мастера операций
- Размещение мастер-ролей по планированию операций
- Move-ADDirectoryServerOperationMasterRole
Где скачать и как установить
Вначале нужно выполнить установку RSAT на свой ПК. По умолчанию этот инструмент в Win 10 отсутствует. С помощью RSAT удастся дистанционно управлять объектами сети с использованием Диспетчера серверов. Этот сервис нельзя загрузить на ноутбук, работающий на основе Домашней или Стандартной версии. RSAT разрешается скачивать на мощные ПК, имеющие Профессиональную или Корпоративную редакцию Win 10.
Как самостоятельно скачать RSAT:
зайти на сайт «Майкрософт»;
- найти «Remote Server Administration Tools» (для конкретной редакции Win 10);
- выбрать пакет, соответствующий конкретной разрядности (х64 или х86);
- нажать на Download;
- добавить RSAT на свой ПК;
- в ходе установки активировать инсталляцию сопутствующих обновлений;
- в конце перезапустить ПК.
Завершив скачивание RSAT, рекомендуется выполнить активацию этого средства на своем ПК:
- вызвать Control Panel;
- отыскать подпункт «Programs and Features»;
кликнуть по «Turn Windows features on or off»;
- появится окошко «Win Feature»;
- отыскать «Remote Server Administration Tools»;
- раскрыть ветку;
- найти «Role Administration Tools»;
- пометить птичкой «AD DS and AD LDS Tools» и другие строчки в этой ветке (должны быть активными по умолчанию);
- выделить «AD DS Tools» и нажать на «ОК».
Установку ADUC удастся выполнить из «Командной строчки с помощью таких команд:
- «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD»;
- «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS»;
- «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS-SnapIns».
Важно! После скачивания инструментов нужно вызвать Панель управления и зайти в подпункт «Administrative Tools». Там должна появиться новая опция под названием «Active Directory Users and Computers»
После появления этого инструмента разрешается подсоединиться к контроллеру. Выполнить это действие пользователь сможет самостоятельно.
Установка Active Directory Domain Services в Windows Admin Center
В Windows Admin Center очень удобно установить роли Active Directory Domain Services и DNS сервер, для этого нужно сделать буквально несколько кликов. Но, как уже было сказано, Windows Admin Center ещё не является полноценной заменой для других инструментов, поэтому когда придёт время Promote this server to a domain controller («Сделать этот сервер контроллером домена»), то это нужно будет сделать средствами Менеджера серверов, либо в PowerShell.
Подключитесь к вашему серверу в Windows Admin Center и перейдите на вкладку «Роли и компоненты».
Поставьте галочку напротив «Active Directory Domain Services» и нажмите кнопку «Установить».
Вам будет показан список устанавливаемых компонентов и их зависимостей, для продолжения нажмите «Да».
За процессом установки вы можете наблюдать в разделе уведомлений.
Переносимся на сервер, для которого мы устанавливаем Active Directory Domain Services. Визуально там ничего не изменилось, нажимаем кнопку «Refresh „Dashboard“».
Как можно увидеть, теперь появилась информация о работающем AD DS.
На самом сервере, в Менеджере серверов вы можете начать Promote this server to a domain controller («Сделать этот сервер контроллером домена»), но как это сделать удалённо на компьютере из Windows Admin Center я не знаю.
Опять переходим на компьютер с Windows Admin Center для того, чтобы установить роль «DNS Server». На самом деле, «Active Directory Domain Services», «DNS Server» и любые другие роли и компоненты можно было установить за один раз, просто выбрав несколько галочек.
Всё повторяется — нам показывают список зависимостей.
Наблюдаем за процессом установки.
Теперь в менеджере серверов мы можем убедиться, что DNS сервер работает.
Здесь же, в Windows Admin Center, вы можете и удалить роли и компоненты.
Если вы решите это делать в PowerShell (можно подключиться через соответствующую вкладку в Windows Admin Center), то для того чтобы повысить роль сервера до уровня контроллера домена выполняем команду:
Install-ADDSForest -DomainName "dc.hackware.ru" -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "7" -DomainNetbiosName "DC" -ForestMode "7" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$True -SysvolPath "C:\Windows\SYSVOL" -Force:$true
Обратите внимание на опции:
- -DomainName «dc.hackware.ru»
- -DomainNetbiosName «DC»
В них устанавливается имя контроллера доменов и имя NetBIOS. Замените их на собственные значения.
В приглашении командной строки укажите и подтвердите пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога) и нажмите «Enter».
Регистрация имени DNS с помощью регистратора Интернета
Рекомендуется зарегистрировать имена DNS для самых внутренних и внешних пространств имен DNS в регистраторе Интернета. Который включает в себя домен корневого леса любых лесов Active Directory, если такие имена не являются поддоменами имен DNS, зарегистрированных именем организации (Например, домен корневого леса «corp.example.com» является поддоменом внутреннего «example.com». пространство имен.) При регистрации имен DNS в регистраторе Интернета это позволяет DNS-серверам Интернета разрешить домен сейчас или в какой-то момент в течение жизни леса Active Directory. И эта регистрация помогает предотвратить возможные столкновения имен другими организациями.
Управление компьютерами
В следующих разделах подробно описаны действия по управлению компьютерами.
Создание новой учетной записи компьютера
-
Нажмите кнопку Пуск и выберите пункт Выполнить.
-
В поле Open введите cmd.
-
Введите следующую команду:
В computer_dn указывается имя компьютера, которое необходимо добавить. Отличительное имя указывает расположение папки.
Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите .
Чтобы изменить свойства учетной записи компьютера, используйте команду компьютера dsmod.
Добавление учетной записи компьютера в группу
-
Нажмите кнопку Пуск и выберите пункт Выполнить.
-
В поле Open введите cmd.
-
Введите следующую команду:
В этой команде используются следующие значения:
- group_dn указывает отличительное имя объекта группы, к которому необходимо добавить объект компьютера.
- computer_dn указывает отличительное имя объекта компьютера, который будет добавлен в группу. Отличительное имя указывает расположение папки.
При добавлении компьютера в группу можно назначить разрешения всем учетным записям компьютера в этой группе, а затем фильтровать параметры групповой политики для всех учетных записей этой группы.
Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите .
Сброс учетной записи компьютера
-
Нажмите кнопку Пуск и выберите пункт Выполнить.
-
В поле Open введите cmd.
-
Введите следующую команду:
В computer_dn указаны имена одного или более объектов компьютера, которые необходимо сбросить.
Примечание
При сбросе учетной записи компьютера вы разбиваем подключение компьютера к домену. После сброса учетной записи компьютера необходимо повторно присоединяться к учетной записи компьютера домена.
Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите компьютер dsmod /? .
Отключить или включить учетную запись компьютера
-
Нажмите кнопку Пуск и выберите пункт Выполнить.
-
В поле Open введите cmd.
-
Введите следующую команду:
В этой команде используются следующие значения:
- computer_dn указывает отличительное имя объекта компьютера, который необходимо отключить или включить.
- {Да|no} указывает, отключен ли компьютер для логотипа (да) или нет (нет).
При отключке учетной записи компьютера вы разбиваете подключение компьютера к домену, и компьютер не может проверить подлинность домена.
Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите .
Полезные команды при установке доменных служб
- Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
- Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
- Просмотр подсетей — Get-ADReplicationSubnet -Filter *
- Включение корзины Active Directory — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
- Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions
Полезные командлеты в модуле ADDSDeployment
- Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
- Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
- Установка дополнительного контроллера домена — Install-ADDSDomainController
- Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
- Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation
Поиск текущей версии Exchange схемы
Чтобы найти текущую версию Exchange схемы, можно использовать один из следующих методов:
Примечание
Внутренний корневой домен, который мы используем в этом демо: contoso.local.
Способ 1
-
Используйте средства ADSIEdit.msc илиLDP.exe для навигации поCN=ms-Exch-Schema-Version-Pt, CN=Schema,CN=Configuration,DC=contoso,DC=local
-
Просмотрите текущий атрибут rangeUpper.
Некоторые атрибуты «rangeUpper»
Ниже приводится сопоставление значения атрибута rangeUpper с Exchange схемы:
4397 -> Exchange Server RTM 2000
4406 -> Exchange Server 2000 с Пакет обновления 3
6870 -> Exchange Server RTM 2003
6936 -> Exchange Server 2003 с Пакет обновления 2
10628 -> Exchange Server 2007
11116 -> Exchange 2007 с Пакет обновления 1
Community Отказ от контента решений
Корпорация Майкрософт и/или соответствующие поставщики не делают представлений о пригодности, надежности или точности сведений и связанных с ними графических данных, содержащихся в этой записи. Вся такая информация и связанная графика предоставляются «как есть» без какой-либо гарантии. Корпорация Майкрософт и/или соответствующие поставщики тем самым отключили все гарантии и условия в отношении этой информации и связанной графики, включая все подразумеваемые гарантии и условия торговой доступности, пригодность для определенной цели, рабочий труд, название и неущемление. Вы соглашаетесь, что ни в каких событиях корпорация Майкрософт и/или ее поставщики не несут ответственности за любые прямые, косвенные, штрафные, случайные, специальные, сопутствующие повреждения или любые повреждения, включая без ограничений убытки за потерю использования, данных или прибыли, возникающие из-за использования или невозможности использования сведений и связанных с ними графических элементов, содержащихся в этом деле, независимо от того, были ли они связаны с контрактом, тортом, халатностью, строгой ответственностью или иным образом, даже если корпорации Майкрософт или любому из ее поставщиков было рекомендовано о возможности ущерба.
Подключение консоли ADUC к домену из рабочей группы
Как подсоединиться к контроллеру со своего ПК:
вызвать Командную строчку;
- выполнить команду запуска оснастки от имени другого пользователя;
- ввести: «runas / netonly / user:winitpro \ aaivanov mmc»;
- появится окошко «MMC»;
- открыть в окошке «File»;
- выбрать «Add / Remove Snap In»;
- откроется окошко «Add or Remove Snap In»;
- в левом списке «Snap in» этого окошка отыскать «Active Directory Users and Computers»;
- перенести найденный инструмент в правый список «Console Root»;
- после перенесения кликнуть по «Active Directory Users and Computers»;
- появится всплывающее меню;
- выбрать «Change domain»;
- указать название своего домена;
- подключить ADUC к доменному контроллеру.
Office занимает много времени для установки или у вас медленное соединение
Иногда при установке Office на компьютер под управлением Windows 10 вы можете получить сообщение об ошибке «Извините, похоже, у вас медленное соединение…». Это может произойти с любой версией Microsoft Office, включая Office 2019, Office 2016, Office для бизнеса, Администратор Office 365, Office 365 для дома и т. Д. Может возникнуть зависание во время установки и ощущение, что для установки Office требуется много времени ,
Попробуйте следующее решение, чтобы исправить это.
- Офисная установка зависает или зависает на 90%
- Проверьте, не является ли сообщение об установке Stuck фиктивным
- Используйте проводное соединение или лучшее интернет-соединение
- Временно отключить антивирус
- Использовать автономный установщик
- Ремонт с панели управления
- Удалите и переустановите Office.
1] Офисная установка зависает или зависает на 90%
Это происходит потому, что установщик занят или застрял. Возможно, установщик работает с Центром обновления Windows. Есть два способа это исправить. Сначала убейте установщик обновлений Windows, а затем дождитесь завершения работы офиса. Во-вторых, отмените установку в офисе, дождитесь завершения Windows Update и перезапустите. Вот как вы можете убить установщик обновлений Windows:
- Откройте диспетчер задач и перейдите на вкладку «Процессы»
- Выберите автономный установщик Центра обновления Windows (wusa.exe).
- Щелкните правой кнопкой мыши и выберите «Завершить задачу». Установка Office должна возобновиться и завершиться.
Теперь перезагрузите компьютер. Это обеспечит перезапуск процесса обновления Windows, и он начнет делать то, что делал.
Так как это онлайн-установщик, если вы перезагружаете компьютер, возможно, вам придется перезагрузить компьютер с нуля. Это может произойти или не произойти, но все же информация с нашей стороны.
2] Проверьте, не является ли сообщение «Зависание установки» фиктивным.
Иногда установка Office уже завершена, но он продолжает отображать сообщение. Как будто само всплывающее окно застряло, но установка завершена. Перезагрузите компьютер и проверьте, была ли установлена программа Office.
3] Используйте проводное соединение или лучшее интернет-соединение
Возможно, вы столкнулись с медленным подключением. Возможно, вы захотите переключиться на проводное соединение или лучшее интернет-соединение. Если процесс установки завершился, перейдите в Office home, войдите в систему с использованием своей учетной записи, а затем повторно запустите установку Office, используя ее.
4] Временно отключите антивирус
Возможно, ваше антивирусное решение блокирует загрузку. Найдите способ отключить его до завершения загрузки. После установки Office снова включите антивирус.
5] Использовать автономный установщик
Иногда даже при лучшем интернет-соединении процесс загрузки затруднен. В этом случае лучше всего использовать автономный установщик Office.
- Перейдите на сайт Office.com и войдите в свою учетную запись.
- Выберите «Установить Office»> «Загрузить и установить»> выберите другие параметры.
- Установите флажок Загрузить автономный установщик и выберите язык, на котором вы хотите установить Office.
- Выберите Скачать.
Этот процесс загрузит виртуальный диск, содержащий файлы установки Office. Дважды щелкните по нему, чтобы он появился в проводнике. Щелкните виртуальный диск, а затем дважды щелкните файл Setup32.exe (32-разрядная версия Office) или Setup64.exe (64-разрядная версия Office), чтобы начать установку.
6] Ремонт офиса с панели управления
Когда программа достигает 90% установки, она обычно регистрируется в разделе «Программы и компоненты». Вы можете попробовать запустить опцию Online Report. Перейдите к Панели управления> Программа и компоненты> Выберите Office и найдите «Онлайн-ремонт».
7] Удалите и переустановите Office
Если больше ничего не работает, лучше удалить и переустановить офис. Загрузите инструмент Microsoft Office Uninstall Tool от Microsoft, и он сделает всю работу за вас. Он обязательно очистит все, что было установлено предыдущим процессом установки.
Надеемся, что эти шаги помогут вам решить проблему « Office занимает много времени для установки ». Загрузка автономного установщика — лучший способ продолжить работу, если вы уверены, что сеть работает медленно. Вы можете скачать его из любого места и установить на любое количество компьютеров.
Симптомы
Коды ошибок 8467 или 8468 или их шестнадцатеричные, символьные или строковые эквиваленты регистрируются в различных диалоговых окнах и в событии с ИДЕНТИФИКАТОРом 2974 в журнале событий служб каталогов. Попытка создать дубликат имени участника-пользователя или SPN блокируется только в следующих случаях.
запись обрабатывается Windows Server 2012 R2 DC.
Таблица SEQ таблица \ * Арабский 2: коды ошибок имени участника-пользователя и имени участника-службы
Decimal | Hex | Символические | Строка |
---|---|---|---|
8467 | 21C7 | ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST | Не удалось выполнить операцию, так как значение имени субъекта-службы, указанное для добавления или изменения, не является уникальным для всего леса. |
8648 | 21C8 | ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST | Операцию не удалось выполнить, так как значение имени участника-пользователя, предоставленное для добавления или изменения, не является уникальным в пределах леса. |
Основные принципы работы
Инструмент Active Directory является главным узлом инфраструктуры, выполняющим управление объектами в сети и контролирующим доступ к ним. В случае отказа AD все устройства и серверы будут недоступны. Обезопасить систему от подобной проблемы можно с помощью одного или нескольких дублирующих контроллеров доменов.
Принципы Active Directory:
- работает бесперебойно и круглосуточно;
- вся информация хранится в каталогах на контроллере доменов и их дубликатах;
- позволяет осуществлять резервное копирование для восстановления работоспособности сервера;
- обеспечивает взаимодействие объектов одной сети;
- контролирует доступ к объектам (защищает информацию).
Как узнать текущую версию схемы Active Directory через LDP
В Windows Server 2008 R2 откройте пуск и введите ldp.
Как узнать текущую версию схемы Active Directory-11
В Windows Server 2012 R2 откройте Диспетчер сервера-ADDS. Правым кликом по вашему контроллеру, откроется контекстное меню в котором выберите ldp.exe
Как узнать текущую версию схемы Active Directory-10
У вас откроется оснастка ldp.
Как узнать текущую версию схемы Active Directory-12
Первым делом нужно сделать привязку, для этого открываем меню Подключение-Привязка или просто нажать CTRL+B.
Как узнать текущую версию схемы Active Directory-13
Вводим учетные данные от имени которого будем подключаться к схеме, или если у текущего пользователя есть права то можно оставить Привязать как текущего пользователя.
Как узнать текущую версию схемы Active Directory-14
Далее идем в пункт Вид-Дерево
Как узнать текущую версию схемы Active Directory-15
Выбираем
CN=Schema,CN=Configuration,DC=domain,DC=local
Как узнать текущую версию схемы Active Directory-16
И так же в правой части оснастки видим атрибут objectVersion, видим что он тоже со значением 69
Как узнать текущую версию схемы Active Directory-17
Общие сведения
контроллеры домена с Windows Server 2012 R2 блокируют создание повторяющихся имен субъектов-служб (SPN) и имен участников-пользователей (UPN). Это относится к созданию дубликатов в случае восстановления или повторной анимации удаленного объекта или переименования объекта.
История
Дублирование имен субъектов-служб (SPN) обычно происходит, что приводит к ошибкам проверки подлинности и может привести к чрезмерному использованию процессора службой LSASS. Нет встроенного метода для блокирования добавления повторяющегося имени субъекта-службы или UPN. *
Дублирующиеся значения имени участника-пользователя нарушают синхронизацию между локальной службой AD и Office 365.
* Setspn.exe обычно используется для создания новых имен участников-служб, и функционально был встроен в версию, выпущенную в Windows Server 2008, которая добавляет проверку на наличие дубликатов.
Таблица SEQ таблица \ * Арабский 1: уникальность имени участника-пользователя и имени субъекта-службы
Компонент | Комментировать |
---|---|
Уникальность имени участника-пользователя | дублирование имен участников-пользователей. разбейте синхронизацию локальных учетных записей AD с Windows службами на основе Azure AD, такими как Office 365. |
Уникальность имени субъекта-службы | Для взаимной проверки подлинности Kerberos требуются имена участников-служб. Дублирование имени участника-службы приводит к сбоям проверки подлинности. |
Дополнительные сведения о требованиях уникальности к именам участников-служб и имен SPN см. в разделе ограничения уникальности.
Различия в лицензировании Windows Server 2016 и новее
Хотя цены на Windows Server 2012 R2, 2016, 2019 одинаковы, если вы используете стандартную лицензию или лицензию Datacenter на Windows Server 2016 или новее, есть некоторые ключевые изменения, о которых вам необходимо знать. Прежде всего, в то время как лицензии Windows Server исторически продавались для каждого процессора / сокета, в Windows Server 2016 модель лицензирования переключалась на каждое ядро.
Таким образом, если у вас есть сервер, содержащий 2 процессора с 24 ядрами , в Windows Server 2012 вам нужно будет купить только одну лицензию Standard или Datacenter. В Windows Server 2016 вам придется покупать лицензии на все 24 ядра. Это становится довольно сложно, так как есть много правил, но главное — если у вас есть 16-ядерный сервер, затраты будут примерно такими же. Однако лицензирование ОС может быть более дорогим на серверах с более высокой плотностью ядра.
Несмотря на изменение лицензии на ядро, правила виртуализации остаются такими же в Windows Server 2016 и новее. После того, как вы лицензировали все свои ядра на сервере, со стандартной версией вы получаете 2 лицензии гостевой ОС Windows Server по сравнению с неограниченным количеством в версии Datacenter.
Кроме того, набор функций в Windows Server 2012 Standard и Datacenter был одинаковым. Но некоторые функции Windows Server 2016, например, такие, как Storage Spaces Direct или экранированные виртуальные машины, доступны только в выпуске Datacenter.
Что такое Active Directory в Windows 10 и для чего это нужно
Компания «Майкрософт» разработала новую программу, позволяющую объединить все объекты сети (компьютеры, роутеры, принтеры, профили пользователей, серверы) в единую систему. Называется это хранилище — Active Directory или Активный каталог (сокращенно AD).
Для реализации этой программы нужен специальный сервер, вернее, контроллер домена. В нем будет храниться вся информация. Через него выполняется аутентификация (через протокол Kerberos) пользователей и различных устройств в сети. Контроллер домена будет мониторить доступ к объектам своей сети, то есть разрешать запрашиваемое действие или, наоборот, блокировать его.
Использование Active Directory имеет ряд преимуществ. Эта программа обеспечивает безопасную работу, упрощает взаимодействие различных объектов одной сети. С помощью AD можно ограничить ряд функций для определенных пользователей. Данные, хранящиеся на таком сервере, защищены от внешнего доступа. Службы AD обеспечивают удобный обмен файлами (на основе технологии DFS), объединяют все объекты в одну систему (поддерживается стандарт LDAP). Возможна интеграция с Windows Server через протокол RADIUS.
Программу Active Directory можно использовать на базе профессиональной редакции Win10. Существует специальный инструмент управления доменами (оснастка ADUC), позволяющий адаптировать AD к своей ОС. Этот адаптер позволяет контролировать и управлять объектами сети. Прежде чем использовать ADUC, рекомендуется установить сервис RSAT, включающий Командную строчку, Power Shell, а также средства удаленного администрирования сервера.
Важно! Active Directory выступает в роли каталога, хранилища информации о пользователях и инфраструктуре сети. Реализация этого проекта осуществляется через контроллер домена
Это сервер контролирует доступ (разрешает или блокирует запросы) к объектам своей сети. AD рекомендуется использовать для больших компаний.
Установка Active Directory Domain Services
Итак, напомним, что Active Directory — это собирательное название для всех протоколов и программного обеспечения которым посвящено данное руководство
Важной частью которых является Active Directory Domain Services.. «Установка Active Directory» заключается в установке и настройке Active Directory Domain Services
Затем мы назначим серверу с Active Directory Domain Services роль Domain Controller (DC), то есть Контроллер Домена. После этого добавим в данный домен другие компьютеры.
«Установка Active Directory» заключается в установке и настройке Active Directory Domain Services. Затем мы назначим серверу с Active Directory Domain Services роль Domain Controller (DC), то есть Контроллер Домена. После этого добавим в данный домен другие компьютеры.
Active Directory Domain Services можно установить на Windows Server. В данной инструкции Службы домена Active Directory устанавливаются на Windows Server 2022.
Всего будет рассмотрено три разных способа установки Active Directory Domain Services с помощью таких средств как:
- Server Manager (Диспетчере серверов)
- Windows Admin Center
- PowerShell
Для серверов с графическим рабочим столом вы можете выбрать любой из этих способов, а для серверов без графического стола (Windows Server Core) подойдёт только второй или третий способ.
Думаю, это понятно, что Active Directory Domain Services нужно установить только один раз, воспользовавшись инструкциями только из одного (любого) далее идущего раздела.
Где располагать в лесу AD владельца FSMO-роли Schema Master?
Учитывая, что каждая операция по модификации схемы – это отдельное событие, то имеет смысл перед каждым таким случаем смотреть текущую топологию леса Active Directory и, при необходимости, делать Schema Master’ом тот контроллер, который находится в центре топологии. Если вы хотя бы немножко разбираетесь в сетях, то подсказка проста – представьте себе сайты Active Directory как коммутаторы, между которыми работает классический алгоритм STP – вот надо сделать схема-мастером того, кто будет STP Root. Расположение Schema Master после того, как очередные изменения в схеме разойдутся по всем контроллерам, уже абсолютно некритично, т.к. у него нет никаких задач, требующих обращения к нему в ситуации “полный convergence”.
Ошибка: 0x80073701
Я упоминал, что вначале инструкция задумывалась на русифицированном сервере, но на этапе установки Active Directory Domain Services я столкнулся с ошибкой:
Сбой запроса на добавление или удаление компонентов на указанном сервере. Сбой установки одной или нескольких ролей, служб ролей или компонентов. Не найдена сборка, на которую имеется ссылка. Ошибка: 0x80073701
Как результат, невозможно было установить Active Directory Domain Services.
Гугление позволило найти возможную причину: сервер пытается скачать несуществующий пакет для другого языка (не для того, который является системным). Как варианты решения предлагается сложный процесс анализа логов и правки реестра, либо переустановка без потери данных (восстановление). Я выбрал другой вариант — установить сервер на английском языке, здесь эта ошибка не должна встречаться.