Полное руководство по Active Directory, от установки и настройки до аудита безопасности. Ч. 6: Инструменты настройки и оснастка Active Directory

Оглавление

1. Введение в Active Directory (понятия, применение, отличие от Workgroup)

2. Установка Windows Server 2022 и Windows Server Core 2022

3. Инструменты настройки Windows Server 2022 и Windows Server Core 2022

4. Установка Active Directory Domain Services в Windows Server 2022

5. Добавление компьютеров в Active Directory. Проверка и удаление из Active Directory

6. Инструменты настройки и оснастка Active Directory

6.1 Инструменты управления Active Directory

6.2 Как установить инструменты для управления Active Directory на рабочую станцию Windows

6.2.1 Как установить оснастку Microsoft Management Console (MMC) (Консоли управления Microsoft) для управления Active Directory

6.2.2 Как в Windows Admin Center управлять Active Directory

6.2.3 Как установить Модуль Active Directory для Windows PowerShell

6.3 Как пользоваться инструментами для управления Active Directory

6.3.1 Как пользоваться оснасткой Active Directory Консоли управления Microsoft

6.3.2 Как пользоваться Центром администрирования Active Directory

6.3.3 Как пользоваться Windows Admin Center

6.3.4 Как пользоваться Модулем Active Directory для Windows PowerShell

7. Понимание инфраструктуры Active Directory

8. Групповые политики

9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы

10. Настройка траста и сайта доменов

11. Другие службы и роли Active Directory

12. Настройка Samba (Active Directory для Linux)

13. Инструменты для аудита безопасности Active Directory


Инструменты управления Active Directory

Управлять сервером Windows можно как непосредственно сидя за перед ним, так и удалённо. Удалённо сервером можно управлять как с другого сервера, так и с помощью рабочих станций, но для того, чтобы рабочие станции могли использоваться для управления сервером, могут потребоваться дополнительные действия по установке компонентов.

Управление сервером осуществляется через:

  1. Оснастки в Microsoft Management Console (MMC) (Консоли управления Microsoft). На сервере эти инструменты доступны по умолчанию, а на рабочих станциях для получения этой оснастки необходимо предварительно установить средства удалённого администрирования. Сами оснастки перечислены чуть ниже.
  2. Active Directory Administrative Center (Центр администрирования Active Directory), dsac.exe, как показано на скриншоте ниже, является универсальным местом, которое используется для управления службами каталогов Windows Server.
  3. Windows Admin Center. Как на сервере, так и на рабочих станциях необходимо установить сам Windows Admin Center, а затем плагин для Active Directory.
  4. Active Directory Module for Windows PowerShell (Модуль Active Directory для Windows PowerShell). На серверах Windows данный модуль устанавливается автоматически во время развёртывания Active Directory Domain Services. На рабочих станциях Windows требуется его отдельная установка.

Имеются следующие оснастки в Microsoft Management Console (MMC) (консоли управления Microsoft), mmc.exe:

  • Active Directory Users and Computers (Пользователи и компьютеры Active Directory), dsa.msc, используется для управления пользователями, компьютерами и соответствующей информацией.
  • Active Directory Domains and Trusts (Домены и доверие Active Directory), domain.msc, используется для управления доменами, доверительными отношениями и соответствующей информацией.
  • Active Directory Sites and Services (Сайты и службы Active Directory), dssite.msc, используются для управления репликацией и службами между сайтами.

Всего будет рассмотрено четыре набора инструментов для управления Active Directory. Может показаться, что столько вариантов это избыточно. Особенно если учесть, что Центр администрирования Active Directory и Windows Admin Center это просто графические оболочки для PowerShell, который также доступен в виде Модуля Active Directory для Windows PowerShell. Тем не менее, разница между ними заключается не только в интерфейсе инструментов, между ними есть более значимая практическая разница.

Инструмент Позволяет управлять с компьютера, не являющегося частью домена Подходит для локальной настройки Windows Server Core
Оснастки в Microsoft Management Console (MMC) Нет Нет
Active Directory Administrative Center Нет Нет
Windows Admin Center Да Нет
Active Directory Module for Windows PowerShell Да Да

Одинаковые характеристики в таблице имеют только два инструмента, но они различаются интерфейсом.

Как установить инструменты для управления Active Directory на рабочую станцию Windows

Начнём с того, что рассмотрим, что нужно сделать, чтобы с компьютера Windows, который не является сервером, можно было управлять сервером Windows. Впоследствии работа со всеми инструментами, независимо от того, выполняется она локально или удалённо, будет схожей.

Как установить оснастку Microsoft Management Console (MMC) (Консоли управления Microsoft) для управления Active Directory

Для установки и использования данной оснастки вам необходима Pro или Enterprise версия Windows. В отличии от других инструментов, данную оснастку можно использовать только выполнив в ход в домен, то есть с компьютера, являющегося частью домена, которым вы хотите управлять.

Установим средства удалённого администрирования на персональный компьютер, чтобы, используя графический интерфейс, управлять ролями доступными на сервере.

Обратите внимание, в Windows 10 (версия 1903), установку компонентов RSAT (Remote Server Administration Tools) можно выполнить через графический интерфейс Windows (как будет показано ниже). Если вы используете более раннюю версию Windows 10, то вам нужно загрузить установшик RSAT по ссылке.

На компьютере, с которого вы будете управлять сервером, нажмите Win+x, затем в открывшемся меню выбираем «Apps and Features» (Приложения и возможности).

Далее выбираем «Optional Features» (Дополнительные компоненты).

Теперь выбираем «Add a feature» (Добавить компонент).

Для установки средств удалённого администрирования Active Directory выбираем «RSAT: Active Directory Domain Services and Lightweight Directory Services Tools» (Средства удалённого администрирования сервера: средства доменных служб Active Director и служб облегчённого доступа к каталогам) и нажимаем на кнопку «Install» (Установить).

Для установки средств удалённого администрирования DNS выбираем «RSAT: DNS Server Tools» (Средства удалённого администрирования сервера: средства DNS-сервера) и нажимаем на кнопку «Install» (Установить).

Для установки средств удалённого администрирования Group Policy выбираем «RSAT: Group Policy Management Tools» (RSAT: средства управления групповыми политиками) и нажимаем на кнопку «Install» (Установить).

Теперь вы сможете управлять, ролями доступными на сервере, при помощи графического интерфейса.

Установленные средства удалённого администрирования можно найти в меню «Пуск», в разделе «Windows Administrative Tools» (Средства администрирования Windows).

Как в Windows Admin Center управлять Active Directory

Чтобы включить в Windows Admin Center возможность управлять Active Directory, необходимо установить соответствующий плагин.

Чтобы управлять Active Directory в Windows Admin Center, перейдите в «Параметры», далее на вкладку «Расширения», выберите «Active Directory» и нажмите кнопку «Установить».

Дождитесь завершения установки:

Как установить Модуль Active Directory для Windows PowerShell

Active Directory Module for Windows PowerShell (Модуль Active Directory для Windows PowerShell) используется для управления службами каталогов Windows Server с помощью командлетов. Вы можете получить доступ к Центру сценариев Microsoft по адресу https://devblogs.microsoft.com/scripting/ и галерее PowerShell по адресу https://www.powershellgallery.com/. Оба являются хорошо известными репозиториями бесплатных и общедоступных скриптов PowerShell, в том числе значительные коллекции скриптов связанных с AD и DNS.

Как уже было сказано, данный модуль устанавливается на сервер вместе с другими компонентами Active Directory. Для установки в рабочую станцию, либо на Windows Server, который не является Контроллером домена, следуйте инструкции «Как установить и использовать модуль Active Directory PowerShell».

Как пользоваться инструментами для управления Active Directory

Чтобы делать что-то более-менее осмысленное с помощью рассматриваемых инструментов, необходимо понимать инфраструктуру Active Directory, которая будет рассмотрена в следующей части. После неё мы изучим практические примеры настройки компьютеров и пользователей Active Directory, а в этой части в качестве примера работы мы ограничимся созданием нового пользователя в каждой из рассматриваемых программ.

Как пользоваться оснасткой Active Directory Консоли управления Microsoft

Microsoft Management Console, MMC (консоль управления Microsoft) — компонент операционной системы Windows 2000 и более поздних версий Windows. Он позволяет системным администраторам и опытным пользователям с помощью гибкого интерфейса конфигурировать и отслеживать работу системы.

Консоль управления предоставляет более широкие возможности для управления компьютером. Основной принцип действия заключается в оснастках — небольших программах, позволяющих настроить разные аспекты операционной системы.

Также из консоли управления можно получить расширенные функции управления пользователями и группами, в ней можно настроить множество параметров (например, заголовок окон Internet Explorer). Более широким встроенным инструментом управления Windows является редактор реестра.

Полный перечень оснасток находится по пути «Панель управления\Система и безопасность\Администрирование» (эту строку без кавычек можно вставить прямо в проводник, на английской Windows строка выглядит так: «Control Panel\System and Security\Administrative Tools»).

Поиск по фразе «active directory» позволит вам отфильтровать те, которые рассматриваются на данной странице.

Также вы можете открыть нужную страницу в командной строке выполнив:

control /name Microsoft.AdministrativeTools

Смотрите также: Быстрый доступ к разделам Панели управления (Control Panel) из командной строки и ярлыков

В командной строке же вы можете сразу открыть нужную вам оснастку:

  • Active Directory Users and Computers (Пользователи и компьютеры Active Directory):
dsa.msc
  • Active Directory Domains and Trusts (Домены и доверие Active Directory):
domain.msc

Active Directory Sites and Services (Сайты и службы Active Directory):

dssite.msc

Показанные выше способы открыть оснастку Active Directory работают как на сервере, так и на рабочей станции. На сервере, в дополнение к ним, вы можете открыть нужную оснастку через Server Manager (Диспетчер серверов).

Для этого в меню кликните «Tools» («Средства»):

Чтобы создать нового пользователя, откройте оснастку «Active Directory Users and Computers» («Пользователи и компьютеры Active Directory»):

dsa.msc

Щёлкните правой кнопкой мыши контейнер «Users» и выберите «Создать» → «Пользователь».

Введите необходимую информацию о пользователе, а затем нажмите «Далее»:

Введите пароль данного пользователя и установите другие настройки, например, вы можете оставить галочку «Требовать смены пароля при следующем входе в систему».

Проверьте информацию и нажмите «Готово».

Новый пользователь появится в списке.

Теперь под этим пользователем можно выполнить вход на любом компьютере, подключённом к данному домену.

Обратите внимание, чтобы использовать эти инструменты для управления удалённым компьютером, машина, на которой они запущены, должны быть частью домена, иначе вы получите сообщение об ошибке:

Чтобы управлять пользователями и группами на этом компьютере, используйте "Локальные пользователи и группы".

Чтобы управлять пользователями и группами в домене, войдите в систему как пользователь с правами администратора домена.

То есть компьютер должен быть частью домена, а также необходимо выполнить вход под пользователем, имеющим права на управление доменом.

Как пользоваться Центром администрирования Active Directory

Центр администрирования Active Directory вы можете открыть несколькими способами:

1. В меню Server Manager (Диспетчер серверов)

2. Через кнопку «Пуск», поиск, для этого в поиск введите «Центр администрирования Active Directory» (или «Active Directory Administrative Center» если ОС на английском языке)

3. В командной строке, для этого выполните

dsac.exe

В главном окне Центра администрирования Active Directory представлены следующие разделы:

1. Вкладки для выбора домена и перехода к его пользователям и компьютерам, а также для настройки динамического контроля доступа, проверки контроля доступа и глобального поиска (например, можно найти пользователя по его имени).

2. Центральная часть, в ней представлено выбранное содержимое, по умолчанию открыта вкладка «Обзор», с тремя разделами:

1) Подробнее — ссылки на справку

2) Динамический контроль доступа — список действий в и вне Active Directory

3) Azure Active Directory

3. В окне «Сброс пароля» вы можете выбрать пользователя и установить для него новый пароль, включить запрос нового пароля при следующем входе пользователя или разблокировать пользователя.

4. В окне «Глобальный поиск» вы можете искать по компьютерам, пользователям и другим элементам домена.

5. Журнал PowerShell — здесь вы будете видеть, какие запускались команды PowerShell во время выполняемых вами действий. То есть фактически Центр администрирования Active Directory это графическая оболочка для командлетов PowerShell. Кстати, это же самое относится и к Windows Admin Center.

Для управления пользователями в Центре администрирования Active Directory, выберите домен, нажмите «Users», кликните на пользователя, которым вы хотите управлять и в окне «Задачи» кликните на действие, которые вы хотите сделать:

Чтобы создать пользователя, в окне «Users» нажмите «Создать» → «Пользователь»:

Внесите данные пользователя — обязательными для заполнения являются поля «Полное имя» (то есть то, что будет отображаться как имя пользователя) и «Вход пользователя (SamAccountName)» (то есть имя аккаунта, которое пользователь будет указывать при входе в компьютер, подключённый к домену).

При желании вы можете указать другие данные. Когда всё будет готово, нажмите «ОК».

Обратите внимание, чтобы использовать этот инструмент для управления удалённым компьютером, машина, на которой он запущен, должна быть частью домена, иначе вы получите сообщение об ошибке:

Ваша учетная запись или компьютер не присоединены ни к какому домену. Присоединитесь к домену и попробуйте еще раз.

То есть компьютер должен быть частью домена, а также необходимо выполнить вход под пользователем, имеющим права на управление доменом.

Как пользоваться Windows Admin Center

Особенностью Windows Admin Center является то, что для управления Active Directory компьютер, на котором запущен Windows Admin Center, не обязательно должен являться частью домена. Управлять можно с любой рабочей станции — достаточно только иметь логин и пароль администратора домена.

Запустите Windows Admin Center и перейдите на вкладку Active Directory.

В русифицированной версии обе кнопки названы «Обзор», чтобы просмотреть список свойств и выбрать тот или иной раздел, нажмите вторую кнопку Обзор»:

Чтобы создать нового пользователя, кликните на любую кнопку «Создать», которые размещены на любой из вкладок «Обзор»:

Обязательным для ввода является имя пользователя (оно же будет и логином, если вы отдельно не укажите «Имя учетной записи SAM»). Когда всё будет готово, нажмите кнопку «Создать».

Как пользоваться Модулем Active Directory для Windows PowerShell

Следующая последовательность команд PowerShell создаст пользователя домена MiAl, выполнить настройку входа, настройку учётной записи, установит пароль для учётной записи и активирует её.

Пример команды PowerShell для создания нового пользователя домена на удалённом компьютере:

New-ADUser -Name:"MiAl" -Path:"CN=Users,DC=ds,DC=hackware,DC=ru" -SamAccountName:"MiAl" -Server:"HackWare-Server-2022.ds.hackware.ru" -Type:"user" -Credential:Administrator

В этой команде:

  • -Name:"MiAl" — отображаемое имя пользователя «MiAl»
  • -Path:"CN=Users,DC=ds,DC=hackware,DC=ru" — означает, что пользователь будет создан в контейнере «Users», в домене «hackware.ru». То есть имя домена записывается по частям: те части, которые разделены точкой записываются как «DC=ЧАСТЬ1,DC=ЧАСТЬ2,DC=ЧАСТЬ3», это называется «путь X.500»
  • -SamAccountName:"MiAl" — имя логика, которое нужно вводить при входе в домен, в данном случае это «MiAl»
  • -Server:"HackWare-Server-2022.ds.hackware.ru" — полное имя компьютера, представляет собой запись «ИМЯ_КОМПЬЮТЕРА-ДОМЕН»
  • -Type:"user" — создаётся пользователь
  • -Credential:Administrator — имя администратора домена, пароль нужно будет ввести в командной строке. Если вы запускаете команду по созданию пользователя на сервере домена и уже выполнили вход как администратор домена, то эту опцию можно пропустить

Обратите внимание, что предыдущая команда создала пользователя, но этот пользователь не настроен и даже не активирован. Для настройки и активации необходимы дополнительные команды.

Следующая команда настраивает параметры входа пользователя:

Set-ADUser -ChangePasswordAtLogon:$false -Identity:"CN=MiAl,CN=Users,DC=ds,DC=hackware,DC=ru" -Server:"HackWare-Server-2022.ds.hackware.ru" -SmartcardLogonRequired:$false -Credential:Administrator

В этой команде:

  • -ChangePasswordAtLogon:$false — пользователю не нужно менять пароль при следующем входе. Вы можете установить значение на $true — в этом случае пользователь должен поменять пароль при входе
  • -Identity:"CN=MiAl,CN=Users,DC=ds,DC=hackware,DC=ru" — идентификация пользователя «MiAl»
  • -Server:"HackWare-Server-2022.ds.hackware.ru" — удалённый сервер домена
  • -SmartcardLogonRequired:$false — означает, что смарт-карта не требуется
  • -Credential:Administrator — имя администратора домена, пароль нужно будет ввести в командной строке. Если вы запускаете команду по созданию пользователя на сервере домена и уже выполнили вход как администратор домена, то эту опцию можно пропустить

Следующая команда настраивает свойства аккаунта:

Set-ADAccountControl -AccountNotDelegated:$false -AllowReversiblePasswordEncryption:$false -CannotChangePassword:$false -DoesNotRequirePreAuth:$false -Identity:"CN=MiAl,CN=Users,DC=ds,DC=hackware,DC=ru" -PasswordNeverExpires:$true -Server:"HackWare-Server-2022.ds.hackware.ru" -UseDESKeyOnly:$false -Credential:Administrator

В этой команде (из новых опций):

  • -AccountNotDelegated:$false
  • -AllowReversiblePasswordEncryption:$false
  • -CannotChangePassword:$false — пользователь может поменять пароль
  • -DoesNotRequirePreAuth:$false
  • -PasswordNeverExpires:$true — срок действия пароля никогда не заканчивается
  • -UseDESKeyOnly:$false

Более подробное описание этих опций вы найдёте на странице: https://docs.microsoft.com/en-us/powershell/module/activedirectory/set-adaccountcontrol?view=windowsserver2022-ps

Следующая команда устанавливает пароль для указанного пользователя:

Set-ADAccountPassword -Identity:"CN=MiAl,CN=Users,DC=ds,DC=hackware,DC=ru" -NewPassword:ПАРОЛЬ -Reset:$true -Server:"HackWare-Server-2022.ds.hackware.ru" -Credential:Administrator

В этой команде (из нового):

  • -Reset:$true — указывает, что необходимо сбросить пароль

При запуске команды, вам нужно будет вначале ввести пароль администратора домена, а затем пароль, который вы хотите установить для указанного пользователя.

Следующая команда активирует аккаунт:

Enable-ADAccount -Identity:"CN=MiAl,CN=Users,DC=ds,DC=hackware,DC=ru" -Server:"HackWare-Server-2022.ds.hackware.ru" -Credential:Administrator

Все опции предыдущей команды уже знакомы по рассмотренным выше командлетам.

Если вы столкнулись с ошибкой:

Enable-ADAccount: Пароль не соответствует требованиям домена, касающимся длины, сложности или истории использования.

то она означает, что установленный с помощью командлета Set-ADAccountPassword пароль не подходит. В политике по умолчанию в пароле должна быть хотя бы одна заглавная и прописная буква, а также цифра, сам пароль должен быть не короче семи символов.

После выполнения всех этих команд, вы можете выполнить вход под созданным пользователем.

Обратите внимание, что в рассмотренных командах вам нужно заменить значение строки

CN=MiAl

на имя создаваемого и настраиваемого пользователя.

Также обратите внимание на строку

DC=ds,DC=hackware,DC=ru

в ней вам нужно указать свой домен.

Рекомендуется Вам:

Добавить комментарий

Ваш адрес email не будет опубликован.