Разное

Как открыть active directory: Администрирование Active Directory-2 часть. Создание пользователей при помощи оснастки ADUC.

19.09.2005

Содержание

Установка оснастки Active Directory Users and Computers в Windows 10/11

Оснастка Active Directory Users and Computers (или ADUC) – это одна из наиболее часто используемых консолей управления объектами в домене Active Directory. Вы можете установить mmc оснастку ADUC как на Windows Server, так и на десктопные Windows 10 и 11. Консоль ADUC входит в состав набора компоненту администрирования Microsoft Remote Server Administration Tools (RSAT). В этой статье мы покажем, как установить и использовать консоль управление Active Directory Users and Computers в Windows.

Установка оснастки RSAT Active Directory в Windows 10 и 11

В современных версиях Windows 10 (начиная с билда 1809) и в Windows 11 инструменты администрирования RSAT устанавливаются онлайн в виде Features on Demand. Чтобы установить инструменты администрирования RSAT Active Directory в Windows 10/11, перейдите в Settings -> Apps -> Optional Features -> Add an optional feature (View features).

Наберите в поисковой строке Active Directory и выберите для установки компонент RSAT: Active Directory Domain Services and Lightweight Directory Services Tool.

Нажмите Next-> Install для начала установки.

Windows подключится к серверам Microsoft, скачает и установит набор инструментов для управления Active Directory (включает в себя графические консоли Active Directory, утилиты командной строки и модуль Active Directory PowerShell).

Либо вы можете установить набор компонентов администрирования AD с помощью PowerShell:

Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

В изолированных сетях, в которых нет доступа в интернет, вы можете установить инструменты RSAT Active Directory с помощью ISO образа Windows 10 Features on Demand (образ FoD можно скачать из кабинета лицензирования Microsoft).

Для установки инструментов Active Directory, из сетевого каталога с содержимым образа FoD выполните команду:

Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 -LimitAccess -Source \\fs01\Distr\Windows10-FOD\

В предыдущих билдах Windows 10, а также в Windows 8.1, установить RSAT можно с помощью MSU обновления. Скачать RSAT можно здесь:

Скачайте версию файла RSAT в зависимости от разрядности вашей операционной системы и установите его. Дважды щелкните по файлу для начала установки:

Или установите MSU файл RSAT из командной строки в «тихом» режиме:

wusa.exe c:\Install\WindowsTH-RSAT_TP5_Update-x64.msu  /quiet /norestart

После окончания установки RSAT нужно перезагрузить компьютер.

Осталось активировать необходимый функционал RSAT. Для этого:

  1. Щелкните ПКМ по кнопке Start и выберите Control Panel (Панель управления)
  2. Выберите
    Programs and Features
    (Программы и компоненты)
  3. В левой панели нажмите кнопку Turn Windows features on or off
  4. В дереве компонентов разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
  5. Отметьте раздел AD DS Tools и нажмите OK.

Установка оснастки ADUC также может быть выполнена из командой строки. Последовательно выполните 3 команды:

dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

После установки оснасток управления, в разделе Administrative Tools панели управления (Control Panel\System and Security\Windows Tools) появится ссылка на консоль Active Directory Users and Computers.

Как пользоваться консолью Active Directory?

Чтобы запустить консоль ADUC, щелкните по ярлыку в панели управления или выполните команду:

dsa.msc

Все аутентифицированные пользователи домена могут использовать консоль ADUC для просмотра объектов Active Directory.

Если ваш компьютер состоит в домене Active Directory, то консоль ADUC подключится к контролеру домена, на основании текущего Logon сервера. Имя контроллера домена, с которого вы получаете информации указано в верху.

Вы можете подключиться к другому контроллеру домена AD или другому домену, щелкнув по корню консоли и выбрав пункт в контекстном меню.

В консоли Active Directory отображается древовидная структура организационных юнитов (Organizational Unit, OU) вашего домена (и отдельный раздел с сохраненными запросами/ Saved Queries AD).

Администратор домена может создавать контейнеры (OU) в соответствии с физической или логической структуры предприятиями. С помощью контекстного меню можно создать новые объекты в AD (пользователей, группы, компьютеры, OU, контакты), переименовать, переместить или удалить объекты. В зависимости от типа объекта, который вы выбрали пункты контекстного меню могут отличаться.

Например, у пользователя есть опции на сброс пароля в AD или блокировку/разблокировку учетной записи.

Вы можете использовать контекстное меню Search для поиска объектов в AD.

Администратор может делегировать права на создание/редактирование/удаление объектов в Active Directory другим пользователям или группам.

С помощью меню View -> Add/Remove columns можно добавить атрибуты объектов, которые вы хотите отображать в консоли ADUC.

В консоли ADUC можно посмотреть или изменить свойства объектов домена. Например, можно открыть свойства пользователя и изменить его настройки. Часть свойств пользователя находится на соответствующих вкладках, а полный список атрибутов пользователя доступен на вкладке редактора атрибутов AD (Attribute Editor).

Можно добавить отдельную вкладку с фотографией пользователя AD.

Чтобы показывать системные контейнеры и свойства объектов в оснастке AD (по умолчанию скрыты), включите опцию View -> Advanced features.

После этого у всех объектов появится ряд системных вкладок. Например, на вкладке Object можно получить каноническое имя объекта, дату создания учетной записи и включить опцию защиты от удаления (protect object from accidental deletion).

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с компьютера, который не включен в домен (состоит в рабочей группе), воспользуйтесь таким методом:

  1. Запустите командную строку и выполните команду запуска оснастки от имени другого пользователя: runas /netonly /user:winitpro\aaivanov mmc
  2. В пустой консоли MMC выберите File->Add/Remove Snap-In
  3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите Add;
  4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.

В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.

как получить доступ к Windows Active Directory?

Как мне попасть в Windows Active Directory?

Щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Настройки»> «Приложения»> «Управление дополнительными функциями»> «Добавить функцию». Теперь выберите RSAT: доменные службы Active Directory и облегченные инструменты каталогов. Наконец, выберите «Установить», затем выберите «Пуск»> «Инструменты администрирования Windows», чтобы получить доступ к Active Directory после завершения установки.

Как найти пользователей и компьютеры Active Directory в Windows 10?

Установка ADUC для Windows 10 версии 1809 и выше

  1. В меню «Пуск» выберите «Настройки»> «Приложения».
  2. Щелкните гиперссылку справа с надписью «Управление дополнительными функциями», а затем нажмите кнопку «Добавить функцию».
  3. Выберите RSAT: доменные службы Active Directory и облегченные инструменты каталогов.
  4. Нажмите кнопку Установить.

29 мар. 2020 г.

Как открыть Active Directory — пользователи и компьютеры?

Открытие пользователей и компьютеров Active Directory

Перейдите в Пуск → ВЫПОЛНИТЬ. Введите dsa. msc и нажмите ENTER.

Как мне настроить Active Directory?

Настройка служб Active Directory и IIS

  1. Добавьте роль доменных служб Active Directory: запустите Windows Server Manager. На панели управления щелкните Добавить роли и функции. …
  2. Повышение уровня сервера Windows до контроллера домена: в диспетчере серверов щелкните AD DS на панели управления. Щелкните индикатор предупреждения Конфигурация, необходимая для доменных служб Active Directory.

Как управлять Active Directory?

10 советов по управлению Active Directory

  1. Сколько у вас администраторов? Пожалуй, самый важный совет — это контроль доступа к администрированию. …
  2. Общие учетные записи. …
  3. Документация. …
  4. Отключите гостевые учетные записи и переименуйте учетную запись администратора по умолчанию. …
  5. Физическая охрана. …
  6. Обеспечьте соблюдение правил надежных паролей. …
  7. Сервисные аккаунты. …
  8. Аудит событий.

Что такое команда для Active Directory?

Изучите команду запуска для пользователей Active Directory и консоли компьютеров. В этой консоли администраторы домена могут управлять пользователями / группами домена и компьютерами, которые являются частью домена. Выполните команду dsa. msc, чтобы открыть консоль активного каталога из окна «Выполнить».

Есть ли в Windows 10 Active Directory?

Хотя Active Directory — это инструмент Windows, он не установлен в Windows 10 по умолчанию. Microsoft предоставила его в Интернете, поэтому, если любой пользователь хочет использовать инструмент, может получить его с веб-сайта Microsoft. Пользователи могут легко найти и установить инструмент для своей версии Windows 10 с сайта Microsoft.com.

Можно ли установить Active Directory в Windows 10?

Active Directory не входит в состав Windows 10 по умолчанию, поэтому вам придется загрузить его с сайта Microsoft. Если вы не используете Windows 10 Professional или Enterprise, установка не будет работать.

Как мне добавить Active Directory на свой рабочий стол?

Используйте эти шаги, чтобы установить его.

  1. Щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Настройки»> «Приложения»> «Управление дополнительными функциями»> «Добавить функцию».
  2. Выберите «RSAT: доменные службы Active Directory и облегченные инструменты каталогов».
  3. Выберите «Установить» и подождите, пока Windows установит компонент.

Как включить RSAT в Windows 10?

На экране приложений и функций щелкните Управление дополнительными функциями. На экране «Управление дополнительными функциями» нажмите + Добавить функцию. На экране «Добавить функцию» прокрутите список доступных функций, пока не найдете RSAT. Инструменты устанавливаются индивидуально, поэтому выберите тот, который хотите добавить, и нажмите «Установить».

Каким ярлыком можно открыть Центр администрирования Active Directory?

Чтобы открыть Центр администрирования Active Directory, нажмите Пуск, выберите Администрирование, а затем щелкните Центр администрирования Active Directory. Другой способ открыть Центр администрирования Active Directory — нажать кнопку «Пуск», «Выполнить» и ввести dsac.exe.

Что такое Active Directory для новичков?

Active Directory — это служба каталогов, которая централизует управление пользователями, компьютерами и другими объектами в сети. Его основная функция — аутентификация и авторизация пользователей и компьютеров в домене Windows.

Active Directory бесплатна?

Подробная информация о ценах. Azure Active Directory поставляется в четырех выпусках: «Бесплатная», «Приложения Office 365», «Премиум P1» и «Премиум P2». Бесплатная версия включена в подписку на коммерческую онлайн-службу, например Azure, Dynamics 365, Intune и Power Platform.

Как мне настроить DNS?

Windows

  1. Перейти к панели управления.
  2. Щелкните Сеть и Интернет> Центр управления сетями и общим доступом> Изменить настройки адаптера.
  3. Выберите соединение, для которого вы хотите настроить Google Public DNS. …
  4. Выберите вкладку «Сеть». …
  5. Нажмите Advanced и выберите вкладку DNS. …
  6. Нажмите кнопку ОК.
  7. Выберите Использовать следующие адреса DNS-серверов.

25 июн. 2020 г.

Включение Active Directory в Windows 11

Установка Windows по умолчанию не включает пользователей и компьютеры Active Directory; вместо этого он доступен в качестве дополнительной функции в Windows, которую вам придется загружать отдельно.

Что такое Active Directory в Windows?

Пользователи и компьютеры Active Directory в основном используются для управления объектами, людьми, компьютерами, организационными единицами и каждым из их свойств. Это помогает ИТ-администраторам в организациях централизовать репозитории хранилищ, которыми затем можно поделиться с другими пользователями организации, предоставляя выборочный доступ к содержимому в зависимости от их привилегий.

Наряду с централизованным хранилищем управление правами, административные привилегии и даже конфигурации пользователей можно централизованно контролировать с помощью групповой политики Active Directory.

Одним из основных преимуществ наличия Active Directory является то, что этот инструмент предоставляет функцию единого входа. Это означает, что пользователю не нужно аутентифицироваться каждый раз, когда он хочет получить доступ к содержимому.

Более того, стоит отметить, что служба Active Directory доступна только для систем Microsoft и только в профессиональных или серверных версиях операционных систем Windows.

Существует несколько способов включения служб Active Directory в вашей системе: вы можете использовать маршрут с графическим интерфейсом через приложение «Параметры», включить его с помощью PowerShell или использовать командную строку.

Включите Active Directory из приложения «Параметры» в Windows 11.

Active Directory можно легко включить в разделе дополнительных функций в приложении «Настройки».

Для этого сначала перейдите в меню «Пуск» и щелкните плитку «Настройки», представленную в разделе «Закрепленные приложения». В противном случае введите «Настройки» в меню, чтобы выполнить поиск.

После этого в окне «Настройки» нажмите вкладку «Приложения» на левой боковой панели, чтобы продолжить.

Затем в правой части окна найдите и щелкните плитку «Дополнительные функции», чтобы продолжить.

На следующем экране найдите плитку «Добавить дополнительную функцию» и нажмите кнопку «Просмотр функций», расположенную в дальнем правом углу экрана. Это откроет отдельное окно на вашем экране.

Затем в окне «Добавить дополнительную функцию» введите Active Directoryстроку поиска в окне, чтобы найти инструмент. В результатах поиска найдите «RSAT: доменные службы Active Directory и облегченные службы каталогов» и установите флажок рядом с параметром. После этого нажмите кнопку «Далее» в нижней части окна наложения, чтобы продолжить.

На следующем экране нажмите кнопку «Установить» в окне, чтобы начать установку.

Установка служб в вашей системе может занять несколько минут, дождитесь завершения процесса.

После успешной установки перейдите в меню «Пуск» и введите «Инструменты Windows», чтобы выполнить его поиск. Затем в результатах поиска щелкните плитку «Инструменты Windows», чтобы открыть ее.

Теперь в окне инструментов Windows найдите и дважды щелкните плитку «Пользователи и компьютеры Active Directory», чтобы открыть и управлять устройствами, подключенными к вашему серверу.

Включить Active Directory с помощью PowerShell

Если ваша рутина обычно вращается вокруг Powershell или Windows Terminal, вы можете найти этот способ гораздо более удобным, чем маршрут «Настройки».

Чтобы включить ADUC таким образом, сначала перейдите в меню «Пуск» и введите «Терминал», чтобы выполнить поиск приложения. Затем в результатах поиска щелкните правой кнопкой мыши плитку «Терминал» и выберите «Запуск от имени администратора», чтобы продолжить.

Теперь на вашем экране появится окно UAC (Контроль учетных записей). Если вы не вошли в систему с учетной записью администратора, введите учетные данные для нее. В противном случае нажмите кнопку «Да», чтобы продолжить.

В окне терминала введите или скопируйте и вставьте указанную ниже команду и нажмите Enter на клавиатуре, чтобы начать процесс установки.

Примечание. Это потребует от вас активного подключения к Интернету, чтобы добавить функциональные возможности на ваш компьютер.

Add-WindowsCapability -Online -Name "Rsat.ActiveDirectory.DS-LDS.Tools"

Вы должны иметь возможность отслеживать процесс установки на своем экране, дождитесь завершения операции. После установки вы можете безопасно закрыть окно PowerShell.

После успешной установки перейдите в меню «Пуск» и введите «Инструменты Windows», чтобы выполнить поиск. Затем в результатах поиска щелкните плитку «Инструменты Windows», чтобы открыть ее.

После этого в окне «Инструменты Windows» найдите и дважды щелкните плитку «Пользователи и компьютеры Active Directory», чтобы открыть ее.

Используйте командную строку для включения Active Directory

Если вы предпочитаете командную строку больше, чем PowerShell или маршрут с графическим интерфейсом, этот метод подойдет вам лучше всего.

Чтобы включить Active Directory таким образом, сначала перейдите в меню «Пуск» и введите cmd для выполнения поиска. Затем щелкните правой кнопкой мыши плитку «Командная строка» и выберите параметр «Запуск от имени администратора».

Теперь на вашем экране появится экран UAC. Если вы не вошли в систему с учетной записью администратора, введите учетные данные для нее. В противном случае нажмите кнопку «Да», чтобы продолжить.

После этого в окне командной строки введите или скопируйте+вставьте указанную ниже команду и нажмите Enterна клавиатуре, чтобы выполнить команду и установить ADUC в вашей системе.

DISM.exe /Online /Get-CapabilityInfo /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

После успешной установки перейдите в меню «Пуск» и введите Windows Toolsменю, чтобы выполнить поиск. Затем в результатах поиска щелкните плитку «Инструменты Windows», чтобы открыть ее.

Теперь в окне «Инструменты Windows» найдите и дважды щелкните плитку «Пользователи и компьютеры Active Directory», чтобы открыть ее.


Итак, ребята, вы можете включить Active Directory на своем ПК с Windows 11, используя вышеупомянутые методы, и централизованно управлять всеми пользователями.

Статьи по теме:

Установка оснастки Active Directory в Windows 10

В помощь системным администраторам, компания Microsoft разработала средства удаленного администрирования серверов — Microsoft Remote Server Administration Tools (RSAT)

. RSAT содержит ряд инструментов, среди которых самым частым в использовании является —
Active Directory Users and Computers (ADUC)
. В этой статье описана установка RSAT и добавление инструмента по управлению пользователями и рабочими станциями Active Directory в консоль управления Microsoft (MMC) на рабочую станцию c ОС Windows 10.


Следует учесть, что RSAT вы можете поставить только в полную версию Windows 10 Professional или Windows 10 Enterprise. И на системы, на которых не стоит Microsoft Remote Server Administration Tools, например, RSAT предыдущей версии
.

Версии Windows 10

Чтобы включить Active Directory-пользователи и компьютеры на ПК с Windows 10, сначала необходимо установить RSAT — средства удаленного администрирования сервера. Если вы используете более старую версию Windows 10, то есть 1803 или ниже, вам нужно будет загрузить файлы RSAT из центра загрузки Microsoft.

С другой стороны, во всех версиях Windows 10, начиная с выпуска 10 октября 2020 года, RSAT включен как «Функция по требованию». Вам не нужно загружать инструменты, а только устанавливать и включать их. Обратите внимание, что только выпуски Enterprise и Professional поддерживают RSAT и Active Directory.

Открываем msc windows оснастки через командную строку

msc windows оснастки
Добрый день уважаемые читатели и подписчики блога, сегодня мы с вами поговорим на тему как открыть msc windows оснастки через командную строку, для чего это может быть вам нужно и как это поможет в повседневной практике системного администратора. Поверьте полученные знания в этой статье, в будущем смогут вам сэкономить огромное количество времени и нервных клеток, не говоря уже о возможности блеснуть задротскими знаниями перед вашими коллегами, просто если вы активно используете linux системы и знаете основные команды в консоли, то вам будет интересны и эти. Всегда по возможности стремитесь изучать по мимо GUI интерфейсов, еще и альтернативные методы настройки, так как при настройке Windows Server, все чаще выбирают режим core с минималистическим интерфейсом.

Установите RSAT для версий 1809 и выше

Выполните следующие действия, чтобы включить RSAT в Windows 10.

  1. Щелкните правой кнопкой мыши значок «Windows» в левом нижнем углу экрана.
  2. Выберите опцию «Настройки» из всплывающего меню.
  3. Когда откроется окно настроек, вы должны выбрать вкладку «Приложения» из списка.
  4. Затем нажмите на ссылку «Управление дополнительными функциями» в правой части окна настроек. Он находится в разделе «Приложения Особенности ».
  5. Нажмите на значок «+ Добавить функцию».

  6. Windows покажет список доступных дополнений. Прокрутите вниз и выберите из списка надстройку «RSAT: доменные службы Active Directory и облегченные инструменты каталога».
  7. Нажмите кнопку «Установить».
  8. После завершения установки RSAT должен появиться в разделе «Администрирование» меню «Пуск».

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:

  1. Запустите командную строку и выполните команду запуска остастки от имени другого пользователя: runas /netonly /user:winitpro\aaivanov mmc
  2. В пустой консоли MMC выберите File->Add/Remove Snap-In
  3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите

  4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.

В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.

Установите RSAT для версий 1803 и ниже

Установка RSAT и включение Active Directory в более старой версии Windows 10 занимает немного больше времени. Имейте в виду, что ограничение для редакций Enterprise и Professional по-прежнему действует. Давайте посмотрим, как включить Active Directory в версиях 1803 и ниже.

  1. Запустите браузер вашего компьютера.
  2. Перейдите в Центр загрузки Microsoft и найдите Средства удаленного администрирования сервера для Windows 10.
  3. Нажмите кнопку «Скачать».
  4. Выберите последнюю версию, чтобы обеспечить максимальную совместимость.
  5. Нажмите кнопку «Далее» и дождитесь завершения загрузки.
  6. Затем нажмите клавишу «Win» на клавиатуре.
  7. Поиск панели управления.
  8. На панели управления нажмите на вкладку «Программы».
  9. Далее выберите «Программы и компоненты».
  10. Нажмите «Включить или отключить функции Windows».

  11. Разверните раздел «Инструменты удаленного администрирования сервера» в меню.
  12. Далее выберите «Инструменты администрирования ролей».
  13. Выберите «Инструменты AD LDS и AD DS».
  14. Установите флажок «Инструменты AD DS».

  15. Нажмите кнопку «ОК».

Параметр «Администрирование» теперь должен появиться в меню «Пуск». Вы должны найти там все инструменты Active Directory, и вы можете использовать и изменять их через это меню.

Основные понятия, встречающиеся в ходе работы

Существует ряд специализированных понятий, которые применяются при работе с AD:

  1. Сервер – компьютер, содержащий все данные.
  2. Контроллер – сервер с ролью AD, который обрабатывает запросы от людей, использующих домен.
  3. Домен AD — совокупность устройств, объединенных под одним уникальным именем, одновременно использующих общую базу данных каталога.
  4. Хранилище данных — часть каталога, отвечающая за хранение и извлечение данных из любого контроллера домена.

Поиск проблемы

В большинстве случаев установка RSAT проходит без проблем. Однако есть две проблемы, с которыми вы можете столкнуться.

Первый — невозможность установить RSAT. Если это произойдет, убедитесь, что брандмауэр Windows включен. RSAT использует стандартный бэкэнд Windows Update и требует, чтобы брандмауэр был запущен и работал. Если он выключен, включите его и попробуйте снова установить RSAT.

Вторая проблема может возникнуть после установки. Некоторые пользователи пропускают вкладки или испытывают другие проблемы. Единственное решение проблем после установки — удалить и установить RSAT заново.

Если у вас есть проблемы с ADUC, вы должны проверить, правильно ли подключен его ярлык. Это должно привести к% SystemRoot% \ system32 \ dsa.msc. Если это не так, переустановите программу.

Как работают активные директории

Основными принципами работы являются:

  • Авторизация, с помощью которой появляется возможность воспользоваться ПК в сети просто введя личный пароль. При этом, вся информация из учетной записи переносится.
  • Защищенность. Active Directory содержит функции распознавания пользователя. Для любого объекта сети можно удаленно, с одного устройства, выставить нужные права, которые будут зависеть от категорий и конкретных юзеров.
  • Администрирование сети из одной точки. Во время работы с Актив Директори сисадмину не требуется заново настраивать все ПК, если нужно изменить права на доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
  • Полная интеграция с DNS. С его помощью в AD не возникает путаниц, все устройства обозначаются точно так же, как и во всемирной паутине.
  • Крупные масштабы. Совокупность серверов способна контролироваться одной Active Directory.
  • Поиск производится по различным параметрам, например, имя компьютера, логин.

Объекты и атрибуты

Объект — совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.

Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.

Процессы Atieclxx, Atiedxx, Ati2evxx – зачем используются и какой утилите принадлежат

Пример:

“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.

Контейнер и имя LDAP

Контейнер — тип объектов, которые могут состоять из других объектов. Домен, к примеру, может включать в себя объекты учетных записей.

Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.

Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD — модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.

Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.

Дерево и сайт

Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.

Лес доменов – совокупность деревьев, связанных между собою.

Сайт — совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.

Для чего вы можете использовать Active Directory — пользователи и компьютеры?

Надстройка «Active Directory — пользователи и компьютеры» может покрыть большинство задач и обязанностей администратора AD. У него есть свои ограничения — например, он не может управлять объектами групповой политики.

Но вы можете использовать его для сброса паролей, редактирования членства в группах, разблокировки пользователей и многого другого. Вот некоторые основные инструменты в вашем распоряжении, когда вы включаете ADUC на вашем компьютере.

  1. Active Directory Домены и трасты. С помощью этого инструмента вы можете управлять функциональными уровнями леса, UPN (основными именами пользователей), функциональными уровнями нескольких доменов. Это также позволяет управлять доверием между лесами и доменами.
  2. Центр администрирования Active Directory. В этом разделе ADUC вы можете управлять своей историей PowerShell, политиками паролей и корзиной AD.
  3. Сайты и службы Active Directory. Этот инструмент дает вам контроль и понимание сайтов и услуг. Это позволяет планировать репликацию и определять топологию AD.

Что такое msc оснастка

И так msc в Windows расшифровывается как Microsoft System Console, еще проще это окна или как их еще называют оснастки, для управления теми или иными функциями операционной системы. Ранее я вас уже знакомил с методом создания удобной оснастки mmc, в которой мы добавляли все, что нужно системному администратору для повседневного администрирования.

И вы наверно спросите, а при чем тут командная строка и все такое, а вот при чем. Представим себе ситуацию, у вас в организации существует домен Active Directory, рядовые пользователи не имеют прав локального администратора на своих рабочих станциях, все идет и работает как часы, случается ситуация, что например вам нужно у пользователя поменять какие либо настройки, и сделать нужно сейчас, так что искать эти настройки в групповой политике нет времени. Что делать заходить под собой не вариант, так как нужно произвести изменения в другом профиле пользователя, и как открыть например оснастку Управление компьютером или Система.

Во тут нам и поможет знание названия msc windows оснасток и командная строка. Все что вам нужно это открыть командную строку от имени администратора и ввести нужное название msc оснастки. Ниже представлен список. Как видите открыв командную строку cmd.exe я для примера ввел значение открывающее панель управления с правами администратора системы.

Элементы оснастки Консоли управления msc

  • appwiz.cpl — Установка и удаление программ
  • certmgr.msc — Сертификаты
  • ciаdv.msc — Служба индексирования
  • cliconfg — Программа сетевого клиента SQL
  • clipbrd — Буфер обмена
  • compmgmt.msc — Управление компьютером
  • dcomcnfg — Консоль управления DCOM компонентами
  • ddeshare — Общие ресурсы DDE (на Win7 не работает)
  • desk.cpl — Свойства экрана
  • devmgmt.msc — Диспетчер устройств
  • dfrg.msc — Дефрагментация дисков
  • diskmgmt.msc — Управление дисками
  • drwtsn32 — Dr.Watson
  • dxdiag — Служба диагностики DirectX
  • eudcedit — Редактор личных символов
  • eventvwr.msc — Просмотр событий
  • firewall.cpl — настройки файерволла Windows
  • gpedit.msc — Груповая политика
  • fsmgmt.msc — Общие папки
  • fsquirt — Мастер передачи файлов Bluetooth
  • chkdsk — Проверка дисков (обычно запускается с параметрами буква_диска: /f /x /r)
  • control printers — Принтеры и факсы — запускается не всегда
  • control admintools — Администрирование компьютера — запускается не всегда
  • control schedtasks — Назначенные задания (планировщик)
  • control userpasswords2 — Управление учётными записями
  • compmgmt.msc — Управление компьютером (compmgmt.msc /computer=pc — удаленное управление компьютером pc)
  • lusrmgr.msc — Локальные пользователи и группы
  • mmc— создание своей оснастки
  • mrt.exe — Удаление вредоносных программ
  • msconfig — Настройка системы (автозапуск, службы)
  • mstsc — Подключение к удаленному рабочему столу
  • ncpa.cpl — Сетевые подключения

  • ntmsmgr.msc — Съёмные ЗУ
  • mmsys.cpl — Звук
  • ntmsoprq.msc — Запросы операторов съёмных ОЗУ (для XP)
  • odbccp32.cpl — Администратор источников данных
  • perfmon.msc — Производительность
  • regedit — Редактор реестра
  • rsop.msc — Результатирующая политика
  • secpol.msc — Локальные параметры безопасности (Локальная политика безопасности)
  • services.msc — Службы
  • sfc /scannow — Восстановление системных файлов
  • sigverif — Проверка подписи файла
  • sndvol — управление громкостью
  • sysdm.cpl — Свойства системы
  • syskey — Защита БД учётных записей
  • taskmgr — Диспетчер задач
  • utilman Диспетчер служебных программ
  • verifier Диспетчер проверки драйверов
  • wmimgmt.msc — Инфраструктура управления WMI

Список msc оснасток для Windows Server

Давайте рассмотрим как запускаются Административные оснастки Windows из командной строки cmd.exe

  • domain.msc — Active Directory домены и доверие
  • dsa.msc — Active Directory Пользователи и компьютеры (AD Users and Computers)
  • tsadmin.msc — Диспетчер служб терминалов (Terminal Services Manager)
  • gpmc.msc — Консоль управления GPO (Group Policy Management Console)
  • gpedit.msc — Редактор объектов локальной политики (Group Policy Object Editor)
  • tscc.msc — Настройка терминального сервера (TS Configuration)
  • rrasmgmt.msc — Маршрутизация и удаленый доступ (Routing and Remote Access)
  • dssite.msc — Active Directory Сайты и Доверие (AD Sites and Trusts)
  • dompol.msc — Политика безопасности домена (Domain Security Settings)
  • dсpol.msc — Политика безопасности контроллера домена (DC Security Settings)
  • dfsgui.msc — Распределенная файловая система DFS (Distributed File System)
  • dnsmgmt.msc — DNS
  • iscsicpl.exe — Инициатор ISCSI
  • odbcad32.exe — Администратор источника данных ODBC 32 бита
  • odbcad64.exe — Администратор источника данных ODBC 64 бита
  • powershell.exe -noexit -command import-module ActiveDirectory — Модуль powershell Active Directory
  • dfrgui.exe — Оптимизация дисков
  • taskschd.msc /s — Планировщик заданий
  • dsac.exe — Центр администрирования Active Directory
  • printmanagement.msc — Управление печатью
  • vmw.exe — Средство активации корпоративных лицензий
  • eventvwr.msc /s — Просмотр событий
  • adsiedit.msc — Редактор ADSIedit
  • wbadmin.msc — Система архивации данных Windows Server
  • ServerManager.exe — Диспетчер серверов

Как видите msc windows оснастки очень полезные инструменты системного администрирования. Мне даже некоторые оснастки быстрее открыть чем щелкать мышкой по куче окон, особенно если сервер или компьютер тормозит или нет мышки. Да и в любом случае знать такие вещи всегда полезно. Большая часть всего, что мы используем хранится в c:WindowsSystem32. Если вы пройдете в эту папку то сможете обнаружить очень много интересного.

nbtstat -a pc — имя пользователя работающего за удаленной машиной pc net localgroup group user /add — Добавить в группу group, пользователя user net localgroup group user /delete — Удалить пользователя из группы net send pc »текст ‘‘ — отправить сообщение пользователю компьютера pc net sessions — список пользователей net session /delete — закрывает все сетевые сессии net use l: \имя компапапка — подключить сетевым диском l: папку на удаленном компьютере net user имя /active:no — заблокировать пользователя net user имя /active:yes — разблокировать пользователя net user имя /domain — информация о пользователе домена net user Имя /add — добавить пользователя net user Имя /delete — удалить пользователя netstat -a — список всех подключений к компьютеру reg add — Добавить параметр в реестр reg compare — Сравнивать части реестра. reg copy — Копирует из одного раздела в другой reg delete — Удаляет указанный параметр или раздел reg export — Экспортировать часть реестра reg import — Соответственно импортировать часть реестра reg load — Загружает выбранную часть реестра reg query — Выводит значения заданной ветки реестра reg restore — Восстанавливает выбранную часть реестра из файла reg save — Сохраняет выбранную часть реестра reg unload — Выгружает выбранную часть реестра shutdown — выключение компьютера , можно удаленно выключить другой. SystemInfo /s machine — покажет много полезного об удаленной машине

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Способы удаления корзины с рабочего стола

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.

При установке следует провести такие процедуры:

  • Проверить сетевые связи между котроллерами.
  • Проверить настройки.
  • Настроить разрешения имен для внешних доменов.
  • Создать связь со стороны доверяющего домена.
  • Создать связь со стороны контроллера, к которому адресовано доверие.
  • Проверить созданные односторонние отношения.
  • Если возникает небходимость в установлении двусторонних отношений – произвести установку.

AdExplorer — утилита Active Directory Explorer для Windows

Active Directory Explorer (AD Explorer) — продвинутая утилита для просмотра и редактирования Active Directory (AD). С помощью AD Explorer можно легко перемещаться по базе данных AD, выбирать избранные локации, просматривать свойства и атрибуты объектов без необходимости открывать диалоговые окна, изменять разрешения, просматривать схему объекта и выполнять сложные поисковые запросы, которые можно сохранять для дальнейшего использования.

Текущая версия Active Directory Explorer v1.50 от 4 ноября 2020 года. Автор: Марк Руссинович.

https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer

AD Explorer может сохранять снапшоты базы данных AD для автономного просмотра и сравнения. Снапшот можно просматривать, как если бы это была живая база данных. Если у вас есть два снимка базы данных AD, вы можете использовать функцию сравнения AD Explorer, чтобы увидеть различия в объектах, атрибуты и разрешения безопасности.

AD Explorer работает в Windows 2000 и выше.

Установка Ad Explorer

Установка как таковая не требуется. Просто распаковываем архив.

Запускаем утилиту. Какой-то из вариантов вам подойдёт.

При первом запуске принимаем лицензионной соглашение. Agree.

Указываем данные для подключения к AD. OK. Здесь же можно подключить имеющийся снапшот. Есть возможность сохранить текущее подключение.

Через меню File → Connect можно выполните несколько подключений, в том числе к снапшотам.

Оснастка и поиск объектов

Оснастка управления включает большое количество данных.

Слева древовидная структура AD, справа все атрибуты выбранного элемента. Очень удобно.

Для примера выделил единственного пользователя моего тестового домена. Вверху (и внизу) указан путь.

Поиск непростой. Вы можете указать целый набор критериев для поиска.

Снапшоты

Сделать снапшот можно в меню File → Create Snapshot.

Указываем описание и путь к файлу снапшота.

Примечательно, что можно снизить нагрузку на сервер, указав «Throttle maximum server utilization».

Удалю тестового пользователя и сделаю второй снапшот.

Загрузить снапшот можно в меню File → Connect.

Выбрав слева загруженный снапшот, можно его сравнить с другим. Compare → Compare Snapshot…

Теперь указываем снапшот для сравнения, выбираем сравниваемые объекты и атрибуты. Compare.

Найдено четыре отличия, все связаны с моим удалённым пользователем и его правами.

Примечания

Создание снапшотов можно автоматизировать через командную строку. Требуется указать два параметра: строку соединения и путь к файлу снапшота. В примере соединение указано для текущего домена.

adexplorer -snapshot "" c:\snapshots\snapshot1.snp

Сравнивать можно не только объекты, но и права доступа к ним.

Я расписал не все функции, пользуйтесь на здоровье. Вместе с утилитой лежит файл руководства, почитайте.

Ad Explorer не восстанавливает AD с помощью снапшотов.

Установка домена Active Directory на Windows Server 2019

В этой статье мы рассмотрим процесс установки нового домена для среды Active Directory с помощью Windows Server 2019. Это будет реализовано путем установки соответствующей роли, а затем путем повышения роли сервера до главного контроллера домена (DC). В то же время мы установим роль DNS, чтобы использовать возможности зон, интегрированных в Active Directory.

Аренда VPS-серверана Windows

  • Бесплатное тестирование
  • Лицензия Windows Server в подарок
  • ЦОД в Амстердаме

Создать сервер

 

По сути, процесс выполняется в два этапа: установка роли Active Directory Domain Services и повышение статуса сервера до главного контроллера домена.

Установка роли Active Directory Domain Services

Прежде чем приступить к выполнению этого шага, необходимо настроить на сервере статический IP-адрес, а также изменить имя Windows Server в соответствии со стандартами именования вашей компании. После того как сделаете это, приступайте к установке ADDS.

Откройте управление сервером (Server Manager), нажмите Управление (Manage), а затем  «Добавить роли и компоненты» (Add Roles and Features).

Сразу после этого откроется окно мастера. В разделе “Before You Begin” нажмите “Next”, чтобы продолжить.

В разделе «Тип установки»  (Installation Type) выберите установку на основе ролей сервера или на основе функции виртуальной инфраструктуры и нажмите Next, чтобы продолжить. В нашем случае используем первый вариант.

В разделе «Выбор сервера» (Server selection) убедитесь, что выбран нужный сервер, обычно он выделен по умолчанию и нажмите Next.

В разделе «Роли сервера» (Server Roles) выберите Доменные службы Active Directory (Active Directory Domain Services). После этого вам будет предложено добавить некоторые дополнительные функции. Нажмите кнопку Add Features, а затем нажмите Next, чтобы продолжить.

В разделе «Компоненты» (“Features”) вам не нужно ничего выбирать, просто нажмите Next для продолжения.

В разделе AD DS отображается некоторая информация о AD DS, просто нажмите Next.

Наконец, в разделе «Подтверждение» (“Confirmation”) нажмите кнопку Install, чтобы перейти к установке роли.

Повышение сервера до контроллера домена

После завершения установки роли, если вы не закроете окно, вам будет предложено повысить сервер до контроллера домена (DC). Ссылка будет выделена синим текстом.

В качестве альтернативы можно открыть то же окно через сервер менеджер, как показано на рисунке ниже.

Нажмите на «Повысить роль этого сервера до уровня контроллера домена» (Promote server to domain controller). По сути, это мастер конфигурации развертывания Active Directory, который поможет вам создать первый лес в Active Directory.

В разделе «Конфигурация развертывания» (Deployment Configuration), включите опцию «Добавить новый лес» “Add a new forest”, а затем введите желаемое имя домена. В моем случае это office.local, и нажмите Next.

В разделе «Параметры контроллера домена» (Domain Controller Options) выберите функциональный уровень леса и домена. Если это ваш первый лес на Windows Server 2016, оставьте значения по умолчанию. В противном случае, если в вашей бизнес-инфраструктуре есть другие контроллеры домена, вам следует узнать их функциональный уровень, прежде чем приступать к необходимым действиям.

Включите опцию сервера системы доменных имен (DNS), чтобы также установить роль DNS на том же сервере, если вы не сделали этого раньше.

Также введите (дважды) пароль Directory Services Restore Mode (DSRM), обязательно запишите его в документации и нажмите Next, чтобы продолжить.

В подразделе «Параметры DNS» (DNS Options) вы увидите предупреждающее сообщение, но в данный момент оно не должно вас беспокоить. Просто нажмите “Next”, чтобы продолжить.

В разделе «Дополнительные параметры» (Additional Options) оставьте имя NetBIOS по умолчанию и нажмите Next, чтобы продолжить.

В разделе «Пути» (Paths) выберите, где на вашем сервере будут располагаться папки NTDS, SYSVOL и LOG. В моем случае я оставлю значения по умолчанию, вы можете выбрать другой диск в зависимости от ваших предпочтений и настроек.

В разделе «Просмотреть параметры» (Review Options) вы увидите сводку выбранных вами параметров. Убедившись, что вы не допустили ошибок, нажмите Next.

В разделе «Проверка предварительных требований» “Prerequisites Check” будут проверены предварительные условия. Здесь, если возникнет хотя бы одна ошибка, вы не сможете продолжить, и вам нужно будет ее исправить. В противном случае, если отображаются только предупреждающие сообщения (которые являются наиболее распространенными), но проверка прошла успешно, как показано на рисунке, нажмите кнопку Install, чтобы продолжить.

На этом этапе вам нужно будет подождать несколько минут, пока завершится процесс установки. Сразу после этого сервер автоматически перезагрузится.

После перезагрузки ваш первый контроллер домена будет готов и вы можете пользоваться всеми функциональностями, таким как например ADUC и ADAC.

Windows Server 2012. Установка и настройка Active Directory

В данной статье будет приведена подробная пошаговая инструкция по установке и настройке с нуля роли Active Directory на базе Windows Server 2012. Инструкция будет основываться на базе английской редакции. Иногда будут приводиться названия параметров и команд, аналогичные русской редакции Windows Server 2012.

Подготовка

Прежде, чем настраивать роль Active Directory необходимо произвести настройку Windows Server 2012 — задать статический IP адрес и переименовать компьютер.

Чтобы установить статический IP адрес, необходимо щелкнуть правой кнопкой мышки по иконке Network в панели задач и выбрать Open Network ang Sharing Center -> Change adapter settings. Выбрать адаптер, который смотрит во внутреннюю сеть. Properties -> Internet Protocol Version 4 (TCP/IPv4) и задать IP адрес по подобию, как приведено на картинке.

192.168.0.11 — IP адрес текущего сервера — первого контроллера домена.

192.168.0.254 — IP адрес шлюза.

Теперь необходимо переименовать имя сервера и перезагрузить его. Start -> System -> Change Settings -> Computer Name -> Change. Ввести Computer Name. В примере сервер будет называться DC1.

Установка роли Active Directory на Windows Server 2012

Итак, после предварительной настройки сервера, переходим к установки роли службы каталогов.

Start -> Server Manager (Пуск -> Диспетчер сервера).

Add roles and features -> Next

Выбрать Role-based or feature-based Installation (Установка ролей и компонентов)  -> Next

Выбрать сервер, на который устанавливается роль AD и нажать Далее. Select a server from the server pool -> Next

Выбираем роль Active Directory Domain Services (Доменные службы Active Directory), после чего появляется окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features.

Можно также выбрать роль DNS Server. Если вы забудете установить галочку для добавления роли DNS Server, можно особо не переживать, т.к. её можно будет добавить позже на стадии настройки роли AD.

После этого жмем каждый раз кнопку Next и устанавливаем роль.

Настройка доменных служб Active Directory

После установки роли, закрыть окно — Close. Теперь необходимо перейти к настройке роли AD.

В окне Server Manager нажать пиктограмму флага с уведомлением и нажать Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера домена) на плашке Post-deploiment Configuration.

Выбрать Add a new forest (Добавить новый лес), ввести название домена и нажать Далее.

Можете выбрать совместимость режима работы леса и корневого домена. По умолчанию устанавливается Windows Server 2012.

На этой вкладке можно будет отключить роль DNS Server. Но, в нашем случае, галочку оставляем.

Далее ввести пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога) и нажимаем Далее.

На следующем шаге мастер предупреждает о том, что делегирование для этого DNS-сервера создано не было (A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server. If you are integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain «ithz.ru». Otherwise, no action is required.).

Нажимаем Next.

На следующем шаге можно изменить NetBIOS имя, которое было присвоено домену. Мы этого делать не будем. Просто нажимаем Далее.

На следующем шаге можно изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба Active Directory), файлам журнала, а так же папке SYSVOL. Мы менять ничего не будем. Нажимаем кнопку Далее.

На следующем шаге отображается сводная информация по настройке. Нажав кнопку View Script, можно посмотреть Powershell скрипт, который произведет настройку доменных служб Active Directory.

# Windows PowerShell script for AD DS Deployment

Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "ithz.ru" `
-DomainNetbiosName "ITME" `
-ForestMode "Win2012" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true

Убедившись, что все указано верно, нажимаем на кнопку Next.

На следующем шаге производится проверка, все ли предварительные требования соблюдены. После чего покажет нам отчёт. Одно из обязательных требований — это установленный пароль локального администратора. В самом низу можно прочитать предупреждение о том, что после того, как будет нажата кнопка Install уровень сервера будет повышен до контроллера домена и будет произведена автоматическая перезагрузка.

Должна появиться надпись  All prerequisite checks are passed successfully. Click «install» to begin installation.

Нажимаем кнопку Install.

После завершения всех настроек, сервер перезагрузится, и вы совершите первый ввод компьютера в ваш домен. Для этого необходимо ввести логин и пароль администратора  домена.

На этом базовая настройка служб каталога Active Directory завершена. Конечно же еще предстоит проделать огромный объем работы по созданию подразделений, созданию новых пользователей, настройке групповых политик безопасности, …

Дополнительная информация по статье

Прощай dcpromo, привет Powershell

Из анонсов все уже знают, что утилита dcpromo устарела. Если запустить в командной строке dcpromo, то появится окно с предупреждением, предлагающее вам воспользоваться Диспетчером сервера.

The Active Directory Services installation Wizard is relocated in Server Manager.

Тем не менее, данной командой можно воспользоваться c указанием параметра автоматической настройки — dcpromo /unattend. При работе сервера в режиме Core, предупреждения не будет, а в командной строке появится информация по использованию утилиты dcpromo.

Все эти изменения связаны с тем, что в Windows Server 2012 сделали акцент на администрирование с помощью Powershell.

Компоненты, связанные с Active Directory, удаленны из Windows Server 2012

Службы федерации Active Directory (AD FS)
  • Больше не поддерживаются приложения, использующие веб-агенты «в режиме маркеров NT». Эти приложения должны переноситься на платформу Windows Identity Foundation и использовать службу Claims to Windows Token для преобразования имени участника-пользователя из маркера SAML в маркер Windows для использования в приложении.
  • Больше не поддерживаются «Группы ресурсов» (описание групп ресурсов см. по адресу http://technet.microsoft.com/library/cc753670(WS.10).aspx)
  • Больше не поддерживается возможность использования служб Active Directory облегченного доступа к каталогам (AD LDS) в качестве хранилища результатов проверки подлинности.
  • Необходим переход к версии AD FS в Windows Server 2012. Не поддерживается обновление «на месте» с AD FS 1.0 или со «стандартной» версии AD FS 2.0.
Поставщики WMI
  • Устарел поставщик WMI для Active Directory. Для управления Active Directory рекомендуется использовать командлеты PowerShell.

Источники информации

Install Active Directory Domain Services (Level 100) — Установка доменных служб Active Directory.

Features Removed or Deprecated in Windows Server 2012 — Компоненты, удаленные или не рекомендуемые к использованию в Windows Server 2012.

Что такое Active Directory и как она работает?

Организации любого размера по всему миру используют Active Directory для управления разрешениями и контроля доступа к критически важным сетевым ресурсам. Но что это такое и как это потенциально может помочь вашему бизнесу?

Что такое Active Directory?

Active Directory (AD) — это служба каталогов, работающая на Microsoft Windows Server. Основная функция Active Directory — позволить администраторам управлять разрешениями и контролировать доступ к сетевым ресурсам.В Active Directory данные хранятся в виде объектов, которые включают пользователей, группы, приложения и устройства, и эти объекты классифицируются в соответствии с их именем и атрибутами.

Что такое доменные службы Active Directory?

Доменные службы Active Directory (AD DS) являются основным компонентом Active Directory и обеспечивают основной механизм аутентификации пользователей и определения того, к каким сетевым ресурсам они могут получить доступ. AD DS также предоставляет дополнительные функции, такие как единый вход (SSO), сертификаты безопасности, LDAP и управление правами доступа.

Иерархическая структура доменных служб Active Directory

AD DS организует данные в иерархическую структуру, состоящую из доменов, деревьев и лесов, как подробно описано ниже.

Домены: Домен представляет группу объектов, таких как пользователи, группы и устройства, которые используют одну и ту же базу данных AD. Вы можете думать о домене как о ветви дерева. Домен имеет ту же структуру, что и стандартные домены и поддомены, например. yourdomain.com и продажи.вашдомен.com.

Деревья: Дерево — это один или несколько доменов, объединенных в логическую иерархию. Поскольку домены в дереве связаны, говорят, что они «доверяют» друг другу.

Лес: Лес — это высший уровень организации AD, содержащий группу деревьев. Деревья в лесу также могут доверять друг другу, а также будут иметь общие схемы каталогов, каталоги, информацию о приложениях и конфигурации домена.

Организационные единицы: OU используется для организации пользователей, групп, компьютеров и других организационных единиц.

Контейнеры: Контейнер похож на OU, однако, в отличие от OU, невозможно связать объект групповой политики (GPO) с общим контейнером Active Directory.

Другие службы Active Directory

Помимо доменных служб Active Directory существует несколько других важных служб, предоставляемых AD. Некоторые из этих услуг перечислены ниже:

Облегченные службы каталогов: AD LDS — это служба каталогов облегченного протокола доступа к каталогам (LDAP).Он предоставляет только подмножество функций AD DS, что делает его более универсальным с точки зрения того, где его можно запускать. Например, его можно запустить как автономную службу каталогов без необходимости интеграции с полной реализацией Active Directory.

Службы сертификации: Вы можете создавать, управлять и обмениваться сертификатами шифрования, которые позволяют пользователям безопасно обмениваться информацией через Интернет.

Службы федерации Active Directory: ADFS — это решение единого входа (SSO) для AD, которое позволяет сотрудникам получать доступ к нескольким приложениям с одним набором учетных данных, что упрощает работу пользователей.

Службы управления правами: AD RMS — это набор инструментов, помогающих управлять технологиями безопасности, которые помогают организациям обеспечивать безопасность своих данных. Такие технологии включают шифрование, сертификаты и аутентификацию и охватывают ряд приложений и типов контента, таких как электронные письма и документы Word.

Сервер, на котором размещены AD DS, называется контроллером домена (DC). Контроллер домена также можно использовать для аутентификации в других продуктах MS, таких как Exchange Server, SharePoint Server, SQL Server, File Server и т. д.

Начало работы с Windows Active Directory

Подробное пошаговое руководство по настройке Active Directory в Windows Server выходит за рамки этой статьи. Вместо этого я предоставлю базовый обзор шагов, необходимых для установки AD, который, по крайней мере, должен указать вам правильное направление. Предполагая, что у вас уже установлен Windows Server (2016), вам потребуется…

  • Измените настройки DNS, чтобы IP-адрес вашего сервера был основным DNS-сервером.
  • Откройте Server Manager , к которому вы можете получить доступ через PowerShell, войдя в систему как администратор и введя ServerManager.exe .
  • В окне Server Manager нажмите Добавить роли и функции и нажмите кнопку Далее , чтобы начать процесс установки.
  • В окне с надписью Выберите роли сервера установите флажок с надписью Доменные службы Active Directory . Появится всплывающее окно.Нажмите Добавить компоненты , а затем нажмите Далее , чтобы продолжить.
  • Продолжайте нажимать кнопку Далее , пока не дойдете до последнего экрана. Если вы не знаете, что делаете, вам лучше оставить настройки по умолчанию такими, какие они есть.
  • После завершения работы мастера нажмите Установить и дождитесь завершения процесса установки.

После установки доменных служб Active Directory вам потребуется настроить установку, включая изменение паролей по умолчанию, настройку подразделений, доменов, деревьев и лесов.Как уже упоминалось, подробное объяснение установки и настройки Active Directory выходит за рамки этой статьи. Для получения подробных актуальных инструкций вам необходимо обратиться к официальной документации.

Что такое Azure Active Directory

Учитывая, что все больше организаций переносят свои бизнес-операции в облако, Microsoft представила Azure Active Directory (Azure AD), облачную версию Windows AD, которая также может синхронизироваться с локальными реализациями AD.Говорят, что Azure AD является основой Office 365 и других продуктов Azure; однако его также можно интегрировать с другими облачными сервисами и платформами. Некоторые различия между Windows и Azure AD заключаются в следующем.

Связь: Azure AD использует REST API, тогда как Windows AD использует LDAP, как упоминалось ранее.

Проверка подлинности: Windows AD использует для проверки подлинности Kerberos и NTLM, тогда как Azure AD использует собственные встроенные веб-протоколы проверки подлинности.

Структура: В отличие от Windows AD, организованной по подразделениям, деревьям, лесам и доменам, Azure AD использует плоскую структуру пользователей и групп.

Управление устройством: В отличие от Windows AD, Azure AD можно управлять с помощью мобильных устройств. Azure AD не использует объекты групповой политики (GPO) для определения того, какие устройства и серверы могут подключаться к сети.

Если вы читаете статью об Active Directory, более чем вероятно, что вы еще не используете ее.В этом случае вам может быть лучше начать с Azure AD, а не с Windows AD. Одна из основных причин, по которой вы можете захотеть использовать Windows AD, заключается в том, что вы храните большие объемы ценных данных и у вас есть команда опытных ИТ-специалистов, управляющих вашей программой кибербезопасности.

Если вы хотите увидеть, как Lepide Active Directory Auditor помогает вам проводить аудит Active Directory и обеспечивать безопасность AD, запланируйте демонстрацию с одним из наших инженеров сегодня или загрузите бесплатную пробную версию сегодня.

Как открыть в командной строке Active Directory Users and Computers?

Изучите команду запуска для пользователей Active Directory и компьютеров консоли.В этой консоли администраторы домена могут управлять пользователями домена /группами и компьютерами , которые являются частью домена . Выполните команду dsa. msc на открыть консоль Active Directory из окна «Выполнить » .

Нажмите, чтобы увидеть полный ответ

Люди также спрашивают, как открыть пользователей и компьютеры из запуска?

Это должно открыть окно управления компьютером . Разверните «Системные инструменты» в дереве левой консоли, после чего вы сможете получить доступ к оснастке MMC «Локальные пользователей и группы».Нажмите клавишу Windows + R, чтобы открыть диалоговое окно «Выполнить » или открыть командную строку. Затем введите lusmgr.msc и нажмите Enter.

Можно также спросить, как добавить оснастку Active Directory Users and Computers?

  1. Запустите команду mmc.exe;
  2. Выберите «Файл» > «Добавить/удалить оснастку»;
  3. В списке доступных оснасток выберите «Пользователи и компьютеры Active Directory» и нажмите «Добавить»;
  4. Выберите контейнер с компьютерами или серверами, щелкните его правой кнопкой мыши и выберите Новый вид панели задач;
  5. Нажмите Далее;

Кроме того, как создать ярлык для пользователей и компьютеров Active Directory?

Как создать ярлык (быстрый метод)

  1. Щелкните правой кнопкой мыши на рабочем столе, выберите «Создать» и выберите «Ярлык».
  2. Введите dsa.msc.
  3. Нажмите Далее.
  4. Переименуйте ярлык. Обычно я называю своих пользователей и компьютеры Active Directory.
  5. Нажмите Готово.
  6. Готово! У вас должен быть ярлык Active Directory на рабочем столе.

Как открыть учетную запись пользователя?

Для откройте Учетные записи пользователей , нажмите кнопку Пуск , щелкните Панель управления, щелкните Учетные записи пользователей и семейная безопасность, а затем щелкните Учетные записи пользователей .Щелкните Управление другой учетной записью . Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение. Нажмите Создать новую учетную запись .

Установить оснастку схемы Active Directory

Вы можете использовать эту процедуру, чтобы сначала зарегистрировать динамическую ссылку библиотека (DLL), необходимая для схемы Active Directory. оснастка. Затем вы можете добавить оснастку в Microsoft Management Консоль (ММС).

Членство в Администраторах домена или аналогичном минимум, необходимый для выполнения этой процедуры. Ознакомьтесь с подробностями о используя соответствующие учетные записи и членство в группах по адресу http://go.microsoft.com/fwlink/?LinkId=83477.

Чтобы установить Active Directory Оснастка схемы
  1. Откройте командную строку, введите следующую команду и затем нажмите ВВОД:

  2. Нажмите Пуск , нажмите Выполнить , введите mmc , а затем нажмите OK .

  3. В меню Файл щелкните Добавить/удалить Оснастка .

  4. В разделе Доступные оснастки щелкните Активно Схема каталога , щелкните Добавить , а затем щелкните ОК .

  5. Чтобы сохранить эту консоль, в меню Файл щелкните Сохранить .

  6. В диалоговом окне Сохранить как выполните одно из далее:

    • Для размещения оснастки в Административном Папка Tools , в Имя файла введите имя для оснастки, и нажмите Сохранить .
    • Чтобы сохранить оснастку в месте, отличном от папку «Администрирование», в «Сохранить в », перейдите к место для оснастки. В Имя файла введите имя для оснастки, а затем нажмите Сохранить .
Осторожно

Изменение схемы — это сложная операция, которую лучше всего выполняются опытными программистами и системными администраторами.За подробную информацию об изменении схемы см. в разделе Active Схема каталога (http://go.microsoft.com/fwlink/?LinkId=80809).

Дополнительные соображения
  • Для выполнения регистрации Schmmgmt.dll часть этой процедуры, вы должны быть членом домена Группа администраторов в домене или группа администраторов предприятия в леса, либо вам должны быть делегированы соответствующие полномочия. Для добавления оснастки «Схема Active Directory» в MMC требуется только членство в группе пользователей домена.Однако внесение изменений в схема требует членства в группе администраторов схемы.
  • Администрация Windows Server 2008 Пакет инструментов не может быть установлен на компьютерах с Windows XP Professional или Windows Server 2003.
Дополнительные ссылки

LDAP, Active Directory и Open LDAP: в чем разница?

LDAP (облегченный протокол доступа к каталогам) — это стандартный протокол для связи пользователей, устройств и клиентов с сервером каталогов.

Протокол LDAP облегчает аутентификацию пользователей и авторизацию для ИТ-ресурсов, которые могут включать серверы, приложения, сети, файловые серверы и многое другое.

Поставщики создали программные реализации LDAP, которые включают инструменты, интерфейсы и другие дополнительные функции. Двумя наиболее популярными реализациями являются OpenLDAP и Microsoft Active Directory.

В этой статье мы обсудим различия между ними. Но сначала давайте проясним различие между LDAP и другими программными реализациями.

В чем разница между LDAP, OpenLDAP и Active Directory?

LDAP — это протокол, определяющий, как пользователи, устройства и клиенты могут взаимодействовать с сервером каталогов. Он также обеспечивает основу для того, как информация может быть организована и представлена ​​в каталоге.

Эти структуры являются гибкими и настраиваемыми, поэтому разные каталоги могут быть отформатированы по-разному, но они, как правило, следуют иерархической древовидной структуре.

С помощью LDAP пользователи получают доступ к ИТ-ресурсам, вводя учетные данные.Протокол ищет и сравнивает учетные данные с тем, что сервер LDAP сохранил для аутентифицирующего пользователя — если имя пользователя и пароль совпадают с тем, что указано в каталоге, LDAP аутентифицирует пользователя.

Используя LDAP, вы можете централизовать службы аутентификации, предоставляя пользователям быстрый доступ ко многим их ресурсам в сети.

Протокол LDAP не является программным обеспечением, но появились программные пакеты, упрощающие создание, реализацию и управление каталогом LDAP.Одной из первых реализаций этого был OpenLDAP.

В чем разница между LDAP и OpenLDAP?

OpenLDAP — это бесплатная реализация протокола LDAP с открытым исходным кодом. Поскольку это обычная бесплатная версия, доступная каждому, OpenLDAP иногда называют просто «LDAP». Однако это больше, чем просто протокол; это легкое программное обеспечение для каталогов LDAP.

OpenLDAP можно использовать на любой платформе. В отличие от других реализаций, которые предлагают более надежные функции, такие как графический интерфейс и часто набор других протоколов и функций (часто за дополнительную плату), OpenLDAP — это узкоспециализированный вариант LDAP, который можно настраивать и который поддерживает все основные вычислительные платформы.

Хотя гибкость может показаться плюсом (и часто так оно и есть), она может затруднить навигацию по программному обеспечению. Это, в сочетании с отсутствием интерфейса, означает, что для внедрения и управления может потребоваться значительный опыт.

В чем разница между OpenLDAP и Active Directory?

Microsoft Active Directory (AD) — это служба каталогов, которая хранит данные учетных записей пользователей и устройств в центральном расположении для доступа к сети, устройствам, приложениям и файлам на базе Windows.

AD более функционален, чем OpenLDAP: он включает в себя графический интерфейс и более надежные функции конфигурации, такие как объекты групповой политики для устройств Windows. В то время как OpenLDAP использует только протокол LDAP, AD использует другие протоколы в дополнение к LDAP.

На самом деле LDAP не является основным протоколом AD; вместо этого он использует реализацию собственного протокола облегченного доступа к каталогам Microsoft и в основном использует Kerberos, основной собственный протокол проверки подлинности Microsoft.

Хотя в целом AD может показаться более надежным, OpenLDAP уделяет исключительное внимание протоколу LDAP, что придает ему гораздо большую глубину, чем предлагает AD.

Конечно, разница в стоимости отражает более широкую функциональность и коммерческий характер решений Microsoft: OpenLDAP бесплатен, а AD — нет.

AD требует лицензирования, и, поскольку он работает на заранее подготовленном оборудовании, затраты на оборудование и обслуживание AD могут возрасти.

Хотя AD предлагает больше возможностей за пределами протокола LDAP, OpenLDAP является более гибким и настраиваемым, когда дело доходит до реализации. При рассмотрении этих двух вопросов компаниям следует решить, что их больше интересует: гибкость (OpenLDAP) или простота использования (AD).

Для некоторых организаций больше подходит OpenLDAP. В частности, для организаций, которые используют системы и приложения на базе Linux, сетевое оборудование и системы хранения NAS и SAN, LDAP часто является предпочтительным протоколом для этих ИТ-ресурсов.

Кроме того, для организаций, которые используют центры обработки данных или технологию «облачная инфраструктура как услуга», использование сервера OpenLDAP часто намного эффективнее, чем Active Directory.

Конечно, у Active Directory есть и свои преимущества.Для организаций, которые в основном используют Windows и намерены использовать только облачную инфраструктуру Azure, сочетание Active Directory и Azure AD может быть весьма полезным.

Однако даже в этом случае многие ИТ-организации предпочитают использовать OpenLDAP из-за отсутствия в Azure AD поддержки LDAP для облачной инфраструктуры.

Каковы основные причины выбора OpenLDAP?

Многие организации выбирают OpenLDAP из-за гибкости и экономии средств.OpenLDAP легко настраивается для опытных инженеров, что делает его лучшим выбором для организаций с особыми или специфическими потребностями.

Кроме того, он совместим практически со всеми платформами и ОС, а AD лучше всего работает с устройствами Windows. Организации, которые используют или планируют использовать Mac, Linux или другие системы, часто выбирают OpenLDAP. Те, у кого есть устаревшие приложения или те, которые основаны на Linux, часто также выбирают OpenLDAP.

Почему вместо этого следует использовать Active Directory?

Если ваша среда полностью однородна и основана только на Microsoft и Windows, AD может быть лучшим выбором.В среде Windows ИТ-администраторы могут использовать консоль Active Directory Users and Computers на базе Windows для выполнения почти всех задач управления.

Однако даже в этих средах вам все равно необходимо учитывать, как учитывать мобильные приложения и приложения SaaS, поддержку устройств Mac и Linux, файловые серверы, отличные от Windows, и сетевое оборудование, поскольку AD обычно не поддерживает их без интеграции или дополнения.

AD предлагает простой в использовании графический интерфейс для настройки параметров и управления пользователями и группами.Для тех, у кого меньше опыта в настройке программного обеспечения с открытым исходным кодом, отсутствие интерфейса OpenLDAP может стать тяжелой битвой, что делает AD лучшим выбором.

В то время как OpenLDAP и протокол LDAP предшествовали выходу Microsoft на рынок служб каталогов, Microsoft AD завоевала львиную долю рынка, хотя с появлением облачных каталогов ландшафт IAM начинает меняться.

Это, в сочетании с более удобным набором инструментов, может сделать его привлекательным выбором для организаций, ориентированных на Windows/Azure.

AD также предлагает больше протоколов, чем просто LDAP, в то время как OpenLDAP является эксклюзивным для LDAP. Популярность многопротокольных служб каталогов растет по мере расширения и рассредоточения сетей; компаниям необходимо аутентифицировать пользователей для большего числа и более широкого круга ресурсов, а разные ресурсы, как правило, лучше всего работают с разными протоколами.

В средах с высокой зависимостью от облачных приложений лучше подходят решения SAML и SSO. В этом случае и для AD, и для OpenLDAP требуется дополнительный инструмент управления идентификацией и доступом.

В идеале, инструмент IAM или служба каталогов должны иметь возможность аутентифицировать и авторизовать пользователей для доступа ко всем их ИТ-ресурсам, где бы они ни находились (включая облако), используя протокол, который лучше всего подходит для задачи. Это одна из областей, в которой и OpenLDAP, и AD терпят неудачу.

Где AD и OpenLDAP терпят неудачу

Во многих случаях ни AD, ни OpenLDAP не являются единственным подходящим вариантом для инфраструктуры управления идентификацией организации. Хотя у OpenLDAP и AD есть свои сторонники, правда в том, что они являются устаревшими системами и нуждаются в других решениях вокруг них для завершения архитектуры IAM организации.

Оба имеют проблемы с удобством использования. AD, хотя и надежная, может стать сложной при расширении с помощью надстроек, таких как Azure AD, для управления разнообразными и рассредоточенными средами.

Кроме того, хотя Microsoft, по-видимому, заинтересована в поддержке платформ, отличных от Windows, внутри Microsoft также существует стремление относиться к Windows и Azure как к первоклассным гражданам по сравнению с решениями их конкурентов.

С другой стороны, гибкость OpenLDAP может быть сложной и вызывать проблемы у менее технически подкованных.Конфигурация сервера OpenLDAP может быть сложной, и может быть сложно следить за зависимостями приложений, изменять данные каталога или схему и поддерживать целостность каталога по мере изменения и масштабирования бизнеса.

Кроме того, простой вопрос управления инфраструктурой OpenLDAP также может быть сложным, особенно по мере того, как все больше организаций передают управление технологиями облачным провайдерам и поставщикам SaaS.

Хотя OpenLDAP может работать в облаке, он использует только протокол LDAP.И хотя AD использует другие протоколы, такие как Kerberos, она не подходит для облачных вычислений. Для интеграции с облаком AD требуются сложные надстройки, такие как Azure, но даже Azure не позволяет организациям полностью отделяться от своего локального каталога (без специализированных вариантов использования размещенного каталога с почасовой оплатой, таких как Azure AD). службы домена).

AD также требует значительных надстроек и интеграций для управления устройствами, отличными от Windows. Поскольку мир мигрирует в облако, компании диверсифицируют свои устройства и инструменты, а приложениям требуются более специализированные протоколы аутентификации и авторизации, это может быть существенным недостатком.

Поскольку ни одно из решений не может эффективно внедрить протоколы и облачную совместимость, необходимые для подключения ко всем необходимым пользователям ресурсам, ни одно из них не смогло по-настоящему централизовать управление пользователями. Скорее, оба функционируют как инструменты в многоинструментальной системе IAM. Эта децентрализованная система управления пользователями может создавать несоответствия, уязвимости в системе безопасности и дополнительную работу по управлению для ИТ-команд.

Лучший вариант — облачная платформа каталогов JumpCloud

Чтобы решить проблемы децентрализованных систем управления пользователями, нескольких операционных систем, аутентификации и авторизации доступа к ресурсам в облачной или гибридной облачной инфраструктуре, а также необходимости использования нескольких протоколов, многие компании обращаются к платформам облачных каталогов.

Благодаря облачной платформе каталогов ИТ-администраторам больше не нужно постоянно поддерживать локальный каталог, и они могут использовать многопротокольную, независимую от ОС централизованную систему управления пользователями, которая часто управляется с помощью богатого графического интерфейса.

При рассмотрении платформ AD, OpenLDAP и облачных каталогов — трех наиболее распространенных вариантов службы каталогов — важно учитывать вашу текущую инфраструктуру, а также направление, в котором вы хотите, чтобы ваша организация развивалась. Компании все чаще выбирают облачные каталоги, которые объединяют аспекты всех трех в одну платформу.

Платформа облачных каталогов может подойти вашей компании, если верно следующее:

  • У вас есть смешанные платформы, такие как компьютеры Mac, Linux и Windows
  • Вы используете приложения SaaS
  • Вы используете облачную/гибридно-облачную инфраструктуру или IaaS, например AWS, Google Workspace, GitHub, Dropbox или другие
  • Вы поддерживаете или планируете поддерживать удаленную, гибридно-удаленную или мобильную работу. Облачные каталоги позволяют пользователям получать доступ к одним и тем же ИТ-ресурсам из любого места.

Например, с помощью платформы каталогов JumpCloud ИТ-администраторы могут подключать учетные записи пользователей к необходимым им ИТ-ресурсам независимо от платформы, поставщика, протокола или местоположения.JumpCloud использует независимый от ОС и многопротокольный подход, поэтому вам не нужно переключать установленные в вашей компании решения для аутентификации, устройства или приложения, используемые сегодня.

Он также включает управление мобильными устройствами (MDM) и упрощает управление каталогами благодаря богатому графическому интерфейсу, который по-прежнему дает администраторам возможность запуска командной строки. Наконец, вы даже можете интегрировать существующую службу каталогов, такую ​​как AD, в JumpCloud, поэтому вам не нужно отказываться от существующего каталога и начинать с нуля.

Поскольку мы понимаем, что выбор каталога или смена провайдера — это важное решение, мы упрощаем его, позволяя компаниям попробовать JumpCloud бесплатно. Вы можете бесплатно зарегистрироваться и добавить своих первых 10 пользователей и 10 устройств, и мы предоставим бесплатную поддержку в чате в течение первых 10 дней, чтобы убедиться, что вы сможете оптимизировать его в соответствии со своей средой и потребностями. Попробуйте JumpCloud бесплатно сегодня.

Выполнить команду для Active Directory

Существует несколько способов открыть активный каталог с помощью командной строки и 2 других метода.Основное использование этого инструмента — управление компьютером в сети, например изображение профиля, доступ и многое другое.

Active Directory Users and Computers (ADUC) — одна из общих функций, регулярно используемых многочисленными клиентами Windows. В дополнение к тому, что он публикует информацию, а также управляет ею, он также создает впечатление объектно-ориентированного взгляда на домен в среде Active Directory.

Существуют различные способы открытия пользователей Active Directory.Далее я упомянул все способы открытия Active Directory Users and Computers.

Способ 1: Использование команды RUN

1) Нажмите одновременно кнопки Windows+R

2) Введите dsa.msc и нажмите OK

3) Откроется окно Active Directory 900 .

Способ 2. Использование командной строки

Вот как можно открыть Active Directory Users с помощью командной строки.

1) Нажмите клавишу Windows+R , чтобы запустить приложение RUN

2) Введите CMD и затем удерживайте комбинацию Ctrl+Shift+Enter, чтобы запустить командную строку в режиме администратора.

3) Теперь введите dsa.msc и нажмите клавишу Enter .

Метод 3: Использование панели управления

1) Нажмите кнопку Windows

2) Введите Панель управления и нажмите на нее

3) Теперь нажмите на Система и безопасность .

 

4) Теперь нажмите Инструменты администрирования .

5) Нажмите Теперь вы увидите список инструментов, среди списка инструментов найдите пользователей и компьютеров Active Directory (ADUC) , а затем просто дважды щелкните по нему.

Надеюсь, вы найдете это полезным, если у вас есть какие-либо другие вопросы, добавьте свой комментарий ниже.

Другие подобные сообщения:

Назначение разрешений учетным записям службы Active Directory

В следующем разделе описаны действия по включению разрешений на создание и удаление объектов-компьютеров, разрешений на эти объекты и разрешения на изменение и сброс учетных данных пользователя. Эти разрешения являются минимальным уровнем разрешений, необходимых для учетной записи службы. при установке коннектора.

Организационная единица [OU] Диалоговое окно разрешений

Разрешения назначаются учетной записи службы через диалоговое окно разрешений OU.

Разрешения на создание и удаление объектов-компьютеров

В следующем разделе описано, как добавить разрешения на создание и удаление компьютерных объектов с помощью диалогового окна разрешений OU:

  1. Перейдите на вкладку безопасности того подразделения, которому вы хотите предоставить разрешения.
  2. Щелкните правой кнопкой мыши соответствующее подразделение и выберите Свойства .
  3. Перейдите на вкладку безопасности и нажмите Дополнительно .
  4. Нажмите Добавить и перейдите к своей учетной записи пользователя. Как указано выше, вам необходимо добавить учетную запись пользователя в OU.
  5. Выберите Этот объект и все дочерние объекты и выберите следующие разрешения:
    • Создание объектов-компьютеров
    • Удалить компьютерные объекты
  6. Нажмите OK .

Разрешения на компьютерные объекты

В следующем разделе описывается, как выбирать разрешения для объектов-компьютеров в диалоговом окне разрешений OU:

  1. Перейдите на вкладку безопасности того подразделения, которому вы хотите предоставить разрешения.
  2. Щелкните правой кнопкой мыши соответствующее подразделение и выберите Свойства .
  3. Перейдите на вкладку безопасности и нажмите Дополнительно .
  4. Нажмите Добавить и перейдите к своей учетной записи пользователя. Как указано выше, вам необходимо добавить учетную запись пользователя в OU.
  5. Ограничьте область действия «Применить к » до объектов «Компьютер-потомок» и выберите следующие параметры:
    • «Читать все свойства»
    • Запись всех свойств
    • Разрешения на чтение
    • Изменить разрешения
    • Подтверждена запись в имя хоста DNS
    • Подтверждена запись в имя субъекта-службы
  6. Нажмите OK .

Настройка инструментов администрирования Active Directory для WorkSpaces

Вы будете выполнять большинство административных задач для каталога WorkSpaces с помощью инструментов управления каталогом, такие как средства администрирования Active Directory. Однако вы будете использовать консоль WorkSpaces для выполнения некоторых задачи, связанные со справочником. Дополнительные сведения см. в разделе Управление каталогами для WorkSpaces.

Если вы создаете каталог с AWS Managed Microsoft AD или Simple AD, включающий пять или более WorkSpaces, мы рекомендуем централизованно администрировать инстанс Amazon EC2.Несмотря на то что вы можете установить инструменты управления каталогами на WorkSpace, используя инстанс Amazon EC2 — это более надежное решение.

Для настройки инструментов администрирования Active Directory

  1. Запустите экземпляр Amazon EC2 Windows и присоедините его к своему каталогу WorkSpaces с помощью одного из следующие варианты:

    • Если у вас еще нет инстанса Amazon EC2 Windows, вы можете присоединиться к инстансу, чтобы ваш домен каталога при запуске экземпляра.Для получения дополнительной информации см. Простое присоединение к экземпляру Windows EC2 в Руководстве по администрированию службы каталогов AWS .

    • Если у вас уже есть инстанс Amazon EC2 Windows, вы можете присоединить его к своему каталогу. вручную. Для получения дополнительной информации см. Добавление экземпляра Windows вручную в Руководстве по администрированию службы каталогов AWS .

  2. Установите средства администрирования Active Directory на экземпляр Amazon EC2 Windows. Для получения дополнительной информации см. Установка Active Directory Инструменты администрирования в AWS Directory Service Administration Guide .

    При установке средств администрирования Active Directory не забудьте также выбрать Управление групповыми политиками для установки редактора управления групповыми политиками ( гал/мин.msc ) инструмент.

    Когда установка компонента завершена, инструменты Active Directory доступны в Windows Меню «Пуск» в разделе «Инструменты администрирования Windows» .

  3. Запустите инструменты от имени администратора каталога следующим образом:

    1. В меню Windows Start откройте Средства администрирования Windows .

    2. Удерживая нажатой клавишу Shift, щелкните правой кнопкой мыши ярлык нужного инструмента и выберите Запуск от имени другого пользователя .

    3. Введите имя пользователя и пароль администратора. В Simple AD имя пользователя Администратор , а с AWS Managed Microsoft AD администратор Админ .

Теперь вы можете выполнять задачи администрирования каталога с помощью знакомых вам инструментов Active Directory. Например, вы можете использовать инструмент «Пользователи и компьютеры Active Directory», чтобы добавлять пользователей, удалять пользователей, продвигать пользователя администратором каталога или сбросить пароль пользователя. Обратите внимание, что вы должны войти в свой Windows экземпляр как пользователь, имеющий разрешения на управление пользователями в каталоге.

Чтобы повысить пользователя до администратора каталога

  1. Откройте инструмент «Пользователи и компьютеры Active Directory».

  2. Перейдите к папке Users в вашем домене и выберите пользователя для продвижения.

  3. Выберите Действие , Свойства .

  4. В диалоговом окне имя пользователя Свойства , выберите Участник .

  5. Добавьте пользователя в следующие группы и выберите OK .

Для добавления или удаления пользователей

Вы можете создавать новых пользователей из консоли Amazon WorkSpaces только в процессе запуска WorkSpace, и вы не можете удалять пользователей через консоль Amazon WorkSpaces. Большинство задач управления пользователями, включая управление группы пользователей, должны выполняться через ваш каталог.

Прежде чем вы сможете удалить пользователя, вы должны удалить WorkSpace, назначенный этому пользователю.Дополнительные сведения см. в разделе Удаление WorkSpace.

Процесс, который вы используете для управления пользователями и группами, зависит от того, какой тип каталога вы используете.

Для сброса пароля пользователя

При сбросе пароля для существующего пользователя не устанавливайте Пользователь должен сменить пароль при следующем входе в систему .

Добавить комментарий

Ваш адрес email не будет опубликован.