Полное руководство по Active Directory, от установки и настройки до аудита безопасности. Ч. 3: Инструменты настройки Windows Server 2022 и Windows Server Core 2022

Оглавление

1. Введение в Active Directory (понятия, применение, отличие от Workgroup)

2. Установка Windows Server 2022 и Windows Server Core 2022

3. Инструменты настройки Windows Server 2022 и Windows Server Core 2022

3.1 Настройка Windows Server 2022 с помощью Windows Admin Center

3.1.1 Что такое Windows Admin Center

3.1.2 Установка Windows Admin Center

3.1.3 Как пользоваться Windows Admin Center

3.1.4 Подключение к удалённому компьютеру в Windows Admin Center

3.2 Настройка Windows Server 2022 с помощью SConfig

3.3 Настройка Windows Server 2022 с помощью PowerShell

4. Установка Active Directory Domain Services в Windows Server 2022

5. Добавление компьютеров в Active Directory. Проверка и удаление из Active Directory

6. Инструменты настройки и оснастка Active Directory

7. Понимание инфраструктуры Active Directory

8. Групповые политики

9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы

10. Настройка траста и сайта доменов

11. Другие службы и роли Active Directory

12. Настройка Samba (Active Directory для Linux)

13. Инструменты для аудита безопасности Active Directory


Прежде чем перейти к развёртыванию Active Directory, познакомимся с инструментами настройки сервера Windows. В настоящее время доступны новые возможности, которые особенно полезны для настройки сервера без графического интерфейса, поскольку сильно облегчают этот процесс — теперь вместо ввода команд достаточно нескольких кликов в веб-интерфейсе. Для сервера с графическим интерфейсом это также может оказаться полезным — систематизированный интерфейс, простое подключение, удалённое администрирование.

Вам необязательно повторять все показанные в этой части настройки. На этапе подготовки к установке Active Directory нам нужно, чтобы у компьютеров, входящих в Домен Windows, были статичные IP адреса и лаконичные имена. К настройке статичных IP адресов на роутере и рабочих станциях мы ещё вернёмся в следующей части. В этой части вам важно получить представление, какими средствами вы можете управлять сервером и каким инструментом воспользоваться в случае необходимости настроить или проверить текущее состояние.

Настройка Windows Server 2022 с помощью Windows Admin Center

Что такое Windows Admin Center

Windows Admin Center — это облегчённая платформа на основе браузера с графическим интерфейсом пользователя и набор средств для ИТ-администраторов по управлению Windows Server и Windows 10. Это следующий шаг в развитии знакомых встроенных средств администрирования, таких как Server Manager и консоль управления (MMC), обеспечивающих улучшенные, более удобные, интегрированные и безопасные условия работы.

Пользоваться Windows Admin Center можно бесплатно в рамках оплаченной лицензии на Windows. Платформу Windows Admin Center (доступна в виде отдельно скачиваемых файлов) можно использовать с действующими лицензиями на Windows Server или Windows 10 без дополнительной платы. Ее использование регламентируется дополнительным лицензионным соглашением Windows.

В основе Windows Admin Center лежат возможности PowerShell, по сути, это графический интерфейс для генерирования команд PowerShell.

Платформа Windows Admin Center оптимизирована для Windows Server 2019 и 2022 и поддерживает ключевые возможности в выпуске Windows Server 2019 и 2022: гибридные облачные сценарии и управление гиперконвергентной инфраструктурой в частности. Несмотря на то что платформа Windows Admin Center лучше всего работает с Windows Server 2019 и 2022, она поддерживает управление различными версиями, которые клиенты уже используют. Windows Server 2012 и более поздние версии полностью поддерживаются. Доступны также ограниченные функции управления Windows Server 2008 R2.

Несмотря на то что платформа Windows Admin Center поддерживает управление множеством распространённых сценариев, она не является полноценной заменой для всех традиционных средств консоли управления (MMC). В состав диспетчера управления серверами в Windows Admin Center входят следующие основные возможности:

  • Отображение ресурсов и их использования;
  • Управление сертификатами
  • Управление устройствами;
  • Просмотр событий
  • Проводник
  • Управление брандмауэром
  • Управление установленными приложениями;
  • Настройка локальных пользователей и групп;
  • Параметры сети
  • Просмотр и завершение процессов, а также создание дампов процессов;
  • Изменение реестра;
  • Управление запланированными задачами;
  • Управление службами Windows;
  • Включение и отключение ролей и компонентов;
  • Управление виртуальными машинами Hyper-V и виртуальными коммутаторами;
  • Управление хранилищем;
  • Управление репликой хранилища;
  • Управление обновлениями Windows;
  • Консоль PowerShell;
  • Подключение к удалённому рабочему столу

Windows Admin Center также предоставляет следующие решения:

  • Управление компьютером — предоставляет набор функции диспетчера серверов для управления клиентскими компьютерами с Windows 10.
  • Диспетчер отказоустойчивого кластера — поддержка непрерывного управления отказоустойчивыми кластерами и ресурсами кластера.
  • Диспетчер гиперконвергентных кластеров — совершенно новые возможности, разработанные специально для работы с локальными дисковыми пространствами и Hyper-V. В его состав входит информационная панель с диаграммами и оповещениями для мониторинга.

Windows Admin Center является дополнением к средствам удалённого администрирования сервера (RSAT) и не заменяет их, потому что роли, такие как Active Directory, DHCP, DNS и IIS, пока ещё не обладают эквивалентными возможностями управления, доступными в Windows Admin Center.

Windows Admin Center можно установить на ОС Windows 10 (версии 1709 или более поздней), запущенной в режиме рабочего стола. Windows Admin Center можно также установить на сервере с Windows Server 2016 и более новой версии в режиме шлюза, а затем получить доступ через веб-браузер с компьютера с Windows 10.

Windows Admin Center использует PowerShell на системном уровне, вы можете посмотреть на скрипты, которые он использует. Функция Showscript была добавлена в ознакомительную версию Windows Admin Center 1806 и теперь входит в общедоступный канал.

Платформе Windows Admin Center не требуется доступ к Интернету и Microsoft Azure. Windows Admin Center может управлять Windows Server и экземплярами Windows в любом месте: на физических системах, в виртуальных машинах на любом гипервизоре либо в облаке. Несмотря на то что со временем будет добавлена интеграция с различными службами Azure, это будут дополнительные функции, использование которых будет необязательным для работы с Windows Admin Center.

Официальная страница программы: https://aka.ms/WindowsAdminCenter

Установка Windows Admin Center

Windows Admin Center можно установить на серверный компьютер или на рабочую станцию. В этом примере я буду делать установку на Windows 10.

Имеются две версии Windows Admin Center:

  • Windows Admin Center — как бы стабильная версия, которая реже обновляется
  • Ознакомительная версия Windows Admin Center — как бы бета версия

По умолчанию предлагается скачать ознакомительную версию со страницы https://www.microsoft.com/evalcenter/evaluate-windows-admin-center

На этой странице для скачивания необходимо ввести информацию о себе.

Можно скачать стабильную версию по прямой ссылке: https://aka.ms/wacdownload

Из документации можно подумать, что стабильная версия является более старой, но это не так. На момент написания в документации говорится, что стабильная версия имеет номер 1910, а версия для ознакомления (судя по журналу изменений) имеет версию 2103. Но на самом деле в качестве стабильной версии скачивается 2103.2.

Скачайте файл и запустите его двойным кликом.

Windows Admin Center (Центр администрирования Windows) в любом случае отправляет диагностические данные, здесь вы можете выбрать, как много информации вы хотите отправлять: первый вариант — меньше, второй — больше.

В следующем окне вы можете выбрать, хотите ли вы использовать для обновления Windows Admin Center Центр обновления Майкрософт или нет (в последней версии установщика это окно убрали, по крайней мере, на Windows 11 его нет).

Это окно является информационным и рассказывает нам о сценариях использования: https://aka.ms/WindowsAdminCenter-install

Выберите желаемые настройки (я добавил создание ярлыка на рабочем столе):

Нас предупреждают, что при первом запуске нам обязательно нужно выбрать сертификат, используемый для шифрования соединений.

Как пользоваться Windows Admin Center

Запустите Windows Admin Center:

Откроется окно веб-браузера с адресом https://localhost:6516/

Если имеются обновления для компонентов, то программа их установит

Может потребоваться перезапуск Windows Admin Center.

Вы увидите список доступных для подключения компьютеров. По умолчанию доступен только локальный компьютер. Кликните на это подключение.

Вы увидите вкладку с обзорной информацией о данном компьютере.

Для управления локальным компьютером перейдите в соответствующую вкладку с левой стороны.

Доступны следующие разделы:

  • Обзор
  • Брандмауэр
  • Запланированные задачи
  • Локальные пользователи и группы
  • Приложения и компоненты
  • Процессы
  • Реестр
  • Сертификаты
  • Сети
  • Системный монитор
  • Службы
  • События
  • Устройства
  • Файлы и общий доступ к ним
  • Хранилище
  • Azure Monitor
  • Azure Security Center

Брандмауэр:

Вкладка управления пользователями:

Настройка общего доступа к сетевой папке:

Обратите внимание на кнопку «Просмотр сценариев PowerShell» (это и есть упомянутая ранее функция Showscript):

При её нажатии можно выбрать интересующую вас функцию данного раздела и будет показан код, используемый для выполнения действий. Это может помочь начать изучать PowerShell и познакомиться с конкретными примерами команд для востребованных действий по системному администрированию Windows в PowerShell.

Чтобы в Windows Admin Center выключить или перезагрузить компьютер, перейдите на вкладку «Обзор» и нажмите «Перезапустить» или «Завершение работы».

Подключение к удалённому компьютеру в Windows Admin Center

Настройка локального компьютера это не главное достоинство Windows Admin Center. Ключевой функцией является подключение и управление удалённым компьютером.

В предыдущей части мы установили Windows Server без графического интерфейса. Мы не выполнили настройку сервера, ограничившись сменой имени компьютера. Для сервера может потребоваться установить статический IP адрес, выполнить обновление системы, назначить роль и выполнить другие задачи. Рассмотрим, как всё это сделать в Windows Admin Center.

Обратите внимание, что хотя в этом примере используется сервер без графического рабочего стола, вы можете подключаться в Windows Admin Center и к серверу с графическим рабочим столом, если работа в Windows Admin Center для вас более комфортна, чем в стандартном интерфейсе сервера.

Итак, в Windows Admin Center переходим в раздел «Все подключения» (главная страница) и нажимаем кнопку «Добавить»:

Вы можете выбрать из нескольких вариантов, например:

  • Серверы
  • Компьютеры с Windows
  • Кластеры серверов
  • Виртуальные машины Azure

Я подключаюсь к серверу, поэтому выбираю соответствующую опцию.

Ввожу имя сервера «Win-Server-Core» и дожидаюсь, когда он будет найден:

Переводчики опять что-то намудрили, но суть в том, что нужно выбрать один из двух вариантов:

  • Использовать на удалённом сервере учётные данные этого компьютера (если имя пользователя и пароль совпадают)
  • Указать для подключения имя пользователя и пароль администратора сервера

Обратите внимание, что в зависимости от языка сервера, имя администратора различается, например:

  • Administrator
  • Администратор
  • Administrateur
  • И так далее

Когда сервер будет найден, выберите вариант

  • Добавить с учётными данными — то есть подключение к этому серверу будет сохранено вместе с логином и паролем
  • Добавить — подключение к этому серверу будет сохранено без логина и пароля

Теперь для подключения к серверу достаточно кликнуть на его имя:

Обратите внимание, что набор разделов различается для сервера и для рабочей станции:

  • Обзор
  • Гибридный центр Azure
  • Служба Azure Kubernetes
  • Брандмауэр
  • Запланированные задачи
  • Локальные пользователи и группы
  • Обновления
  • Процессы
  • Реестр
  • Реплика хранилища
  • Роли и компоненты
  • Сертификаты
  • Сети
  • Синхронизация файлов Azure
  • Системная аналитика
  • Системный монитор
  • Служба миграции хранилища
  • Службы
  • События
  • Удаленный рабочий стол
  • Установленные приложения
  • Устройства
  • Файлы и общий доступ к ним
  • Хранилище
  • Azure Backup
  • Azure Monitor
  • Azure Security Center
  • PowerShell

Выделенные разделы являются уникальными для сервера. В свою очередь, для рабочей станции дополнительно доступен раздел «Приложения и компоненты».

На вкладке «Обновления» вы можете просмотреть и выбрать для установки обновления сервера:

На вкладке «Сети» вы можете просмотреть свойства сетевых адаптеров и выполнить их настройку. Например, здесь вы можете установить статический IP адрес для сервера без графического интерфейса.

Если вы хотите изменить имя сервера, рабочую группу или домен, то перейдите на вкладку «Общие» → «Изменить идентификатор компьютера»:

В разделе «Реестр» вы можете править реестр удалённого компьютера:

Для наших целей (напомню, мы развёртываем Active Directory), особенно важна вкладка «Роли и компоненты». Здесь мы можем установить роли сервера. К этой вкладке мы вернёмся в следующей части данного руководства.

Итак, утилита Windows Admin Center является легковесной, работает в современных браузерах, она облегчает подключение к удалённым компьютерам и позволяет управлять серверами и рабочими станциями в веб интерфейсе.

Тем не менее, иногда нужно настроить компьютер в командной строке — это посвящён следующий раздел.

Настройка Windows Server 2022 с помощью SConfig

Некоторые действия, например, переименование компьютера, подключение к домену или изменение рабочей группы, установка обновлений, изменение параметров сетевого адаптера, добавление локального администратора, перезапуск и выключение сервера, можно сделать с помощью утилиты SConfig, которая загружается вместе с сервером.

SConfig — это утилита управления сервером с интерфейсом командно строки, она предустановлена в Windows Server и автоматически запускается при включении сервера.

Возможностями SConfig:

1) Domain/workgroup — присоединение компьютера к домену/рабочей группе

2) Computer name — смена имени компьютера

3) Add local administrator — добавить локального администратора

4) Remote management: Enabled — удалённое управление (включено)

5) Update setting: Download only — настройки обновления (только загружать)

6) Install updates — установить обновления

7) Remote desktop: Disabled — удалённый рабочий стол (отключено)

8) Network settings — настройки сети

9) Date and time — дата и время

10) Telemetry setting: Required — настройка телеметрии (требуется)

11) Windows activation — активация Windows

12) Log off user — выйти

13) Restart server — перезапустить сервер

14) Shut down server — выключить сервер

15) Exit to command line (PowerShell) — выйти в командную строку (PowerShell)

Если вы хотите отключить автозагрузку SConfig при входе в систему, в меню выберите опцию 15) Exit to command line (PowerShell) чтобы выйти в командную строку (PowerShell) и в командной строке выполните команду:

Set-SConfig -AutoLaunch $false

Если вы закрыли или убрали SConfig из автозагрузки, но вновь хотите запустить эту программу, то в командной строке введите:

SConfig

Пример переименования компьютера в SConfig показан в предыдущей части. Рассмотрим как установить статичный IP адрес в SConfig.

Выберите восьмой пункт (Network settings — настройки сети):

Будет выведен список сетевых адаптеров в системе, выберите тот из них, который вы хотите настроить, для этого введите его индекс (значение из первого столбца):

На следующем шаге нам предлагается выбрать из трёх действий:

1) Set network adapter address – установить адрес сетевого адаптера

2) Set DNS servers – установить DNS сервера

3) Clear DNS server settings – очистить настройки DNS

Выбираем первое действие:

Чтобы выбрать автоматическое присвоение IP адреса (DHCP) введите «D», чтобы выбрать настройку статического IP адреса, введите «S».

Введите желаемый IP адрес или оставьте поле пустым для отмены.

Введите маску подсети, можно просто нажать Enter чтобы установить предлагаемую маску (255.255.255.0).

Введите шлюз по умолчанию.

После ввода сразу будут применены указанные настройки. Информация об этом будет выведена на экран. Для продолжения нажмите Enter.

Подобным же образом можно установить настройки DNS серверов:

Настройка Windows Server 2022 с помощью PowerShell

Рассмотрим несколько команд PowerShell для настройки и управления сервером. Их можно выполнять как непосредственно сидя перед компьютером, так и удалённо.

Приведённые примеры не означают, что вам нужно настраивать статичный IP именно таким образом. Например, вы можете присвоить компьютерам статичные IP адреса в настройках роутера (именно такой подход будет использоваться в следующей части). Если на роутере используется DHCP (автоматическая настройка сетевых устройств с присвоением им IP адресов), то при установке статичного IP необходимо выбрать такой IP, который не входит в диапазон DHCP.

Следующая команда присвоит серверу новое имя (server-core-1) и перезагрузит его, чтобы изменения вступили в силу:

Rename-Computer -NewName server-core-1 -Restart

Обычно для сервера требуется, чтобы он имел статический IP-адрес адрес, вместе с его настройкой нужно установить маску подсети, шлюз и адрес сервера DNS.

Чтобы настроить сетевой интерфейс нужно узнать его индекс:

Get-NetIPAddress

Вы можете использовать следующую команду для более удобного представления информации:

Get-NetIPAddress | Format-Table

На скриншоте видно, что интересующий нас сетевой интерфейс имеет индекс «6». Он единственный является реальным интерфейсом, остальные являются программными (виртуальными) псевдо интерфейсами.

Дополнительно вы можете выполнить сортировку по номеру индекса интерфейса:

Get-NetIPAddress | Sort-Object -Property InterfaceIndex | Format-Table

В качестве примера серверу будет присвоен IP адрес 192.168.1.3, маска подсети 255.255.255.0 (/24) и шлюз 192.168.1.1. Обратите внимание, вы должны заранее понимать, как устроена ваша сеть и знать какие IP-адреса свободны.

Чтобы понимать маски и IP-адреса смотрите статью «IP адрес».

Следующая команда присвоит серверу, то есть сетевому интерфейсу с указанным индексом, IP-адрес, маску и шлюз:

New-NetIPAddress -InterfaceIndex 6 -IPAddress 192.168.1.3 -PrefixLength 24 -DefaultGateway 192.168.1.1

Обратите внимание, что командлет New-NetIPAddress будет корректно работать только при переходе с динамического (DHCP) на статический IP адрес. При смене статического IP адреса и других настроек сети с помощью New-NetIPAddress вы столкнётесь с ошибкой. Начать необходимо с удаления старых настроек, подробности об этом смотрите в статье «Как в PowerShell установить IP, маску сети, шлюз по умолчанию и DNS для сетевого интерфейса».

Убедимся, что настройки успешно применены:

Get-NetIPAddress | Format-Table

Смотрите также: Как настроить сетевой интерфейс на использование динамичного IP адреса (DHCP)

При желании вы можете установить настройки DNS сервера. Но эти настройки всё равно будут переписаны на IP-адрес текущего сервера, так как на нём будет присутствовать роль «DNS Server», которая устанавливается вместе с ролью «Active Directory Domain Services».

Если вы хотите указать один DNS сервер, то используйте команду вида:

Set-DnsClientServerAddress -InterfaceIndex ИНДЕКС_ИНТЕРФЕЙСА -ServerAddresses IP_DNS

Для указания двух DNS серверов используйте синтаксис:

Set-DnsClientServerAddress -InterfaceIndex ИНДЕКС_ИНТЕРФЕЙСА -ServerAddresses ("IP_DNS_1","IP_DNS_2")

Например:

Set-DnsClientServerAddress -InterfaceIndex 6 -ServerAddresses ("8.8.8.8","8.8.4.4")

Проверим, что серверу присвоен корректный IP-адрес, маска подсети, шлюз и адрес сервера DNS, с помощью команды:

Get-NetIPConfiguration

Серверу присвоен корректный IP-адрес, маска подсети, шлюз и адрес сервера DNS.

Смотрите также: Эквивалент IPConfig в PowerShell

Перезагрузить компьютер в PowerShell вы можете командой:

Restart-Computer

Пример команды перезагрузки удалённого компьютера с именем Win-Server-Core и пользователем Administrator:

Restart-Computer -ComputerName Win-Server-Core -Credential Administrator -Force

Подробности смотрите в статье: Как в PowerShell перезагрузить компьютер

Выключить компьютер в PowerShell вы можете командой:

Stop-Computer

Пример команды выключения удалённого компьютера с именем Win-Server-Core и пользователем Administrator:

Stop-Computer -ComputerName Win-Server-Core -Credential Administrator -Force

Подробности смотрите в статье: Как в PowerShell выключить компьютер

Рекомендуется Вам:

Добавить комментарий

Ваш адрес email не будет опубликован.