Администрирование учетных записей в домене Active Directory: :Журнал СА 4. Рубрика. Администрирование /. Администрирование. Facebook. Мой мир. Вконтакте. Одноклассники. Google+Александр Емельянов. Администрирование учетных записей в домене Active Directory.
Одна из важнейших задач администратора – управление локальными и доменными учетными записями: аудит, квотирование и разграничение прав пользователей в зависимости от их потребностей и политики компании. Что может предложить в этом плане Active Directory? В продолжение цикла статей об Active Directory сегодня мы поговорим о центральном звене в процессе администрирования – управлении пользовательскими учетными данными в рамках домена. Нами будет рассмотрено: создание учетных записей и управление ими; типы профилей пользователей и их применение; группы безопасности в доменах AD и их сочетания. В конечном итоге вы сможете применить эти материалы для построения рабочей инфраструктуры либо доработки существующей, которая будет отвечать вашим требованиям. Забегая вперед, скажу, что тема тесно связана с применением групповых политик для административных целей.
Но вследствие обширности материала, посвященного им, она будет раскрыта в рамках следующей статьи. Знакомство с Active Directory – Users and Computers. После того как вы установили свой первый контроллер в домене (тем самым вы собственно и организовали домен), в разделе «Администрирование» появляется пять новых элементов (см. Рисунок 1. Новые элементы для администрирования домена.
- В домене тысячи компов компании. Я сделал копирование другого пк и. Администрирование Windows. Как заменить SID при входе компьютера в домен? У меня на рабочей станции(компе) перестали работать важные службы и прочее..
- Рабочая группа NT и домен NT. Рабочие станции Windows NT, объединенные в локальную сеть, могут составлять либо рабочую группу, либо входить в до-мен. Сервер Windows NT может работать как в составе домена, так и в составе рабочей группы.
- Чтобы запустить программу Set-LocalPassword на системе Windows 2003 или Windows XP, состоящей из большого числа компьютеров, войдите в домен с использованием учетной записи, обладающей правами администрирования рабочих станций.
- По умолчанию Windows 2000 предоставляет право подключения рабочих станций к домену группе «Прошедшие проверку». В поле Имя компьютера введите имя компьютера под управлением Windows 2000, который необходимо добавить в домен..
- Удаление рабочих станций Windows из домена из командной строки (утилита Netdom.exe). Акции Microsoft подешевели на 5%. Опубликовано в рубрике Администрирование. Управление пользователями и группами при помощи утилиты CusrMgr.exe »..
Для управления объектами AD используется Active Directory – Пользователи и компьютеры (ADUC – AD Users and Computers, см. Выполнить» посредством DSA. MSC. Рисунок 2. Active Directory - Users and Computers. С помощью ADUC можно создавать и удалять пользователей, назначать сценарии входа для учетной записи, управлять членством в группах и групповыми политиками.
Существует также возможность для управления объектами AD без обращения к серверу напрямую. Ее обеспечивает пакет ADMINPAK. MSI, расположенный в директории «%SYSTEM_DRIVE%Windowssystem. Развернув его на своей машине и наделив себя правами администратора домена (если таковых не было), вы сможете администрировать домен. При открытии ADUC мы увидим ветку нашего домена, содержащую пять контейнеров и организационных единиц. Builtin. Здесь содержатся встроенные локальные группы, которые есть на любой серверной машине, включая и контроллеры домена. Users и Computers.
Это контейнеры, в которые по умолчанию размещаются пользователи, группы и учетные записи компьютеров при установке системы поверх Windows NT. Но для создания и хранения новых учетных записей нет необходимости пользоваться только этими контейнерами, пользователя можно создать даже в контейнере домена. При включении компьютера в домен он появляется именно в контейнере Computers. Domain Controllers. Это организационная единица (OU, Organizational Unit), содержащая по умолчанию контроллеры домена. При создании нового контроллера он появляется здесь. Foreign. Security.
Principals. Это контейнер по умолчанию для объектов из внешних доверяемых доменов. Важно помнить, что объекты групповых политик привязываются исключительно к домену, OU или сайту. Это нужно учитывать при создании административной иерархии вашего домена. Вводим компьютер в домен. Процедура выполняется непосредственно на локальной машине, которую мы хотим подключить. Выбираем «Мой компьютер - > Свойства - > Имя компьютера», нажимаем кнопку «Изменить» и в меню «Является членом» выбираем «домена». Вводим имя домена, в который мы хотим добавить наш компьютер, и далее доказываем, что у нас есть права на добавление рабочих станций к домену, введя аутентификационные данные администратора домена.
Создаем пользователя домена. Для создания пользователя нужно выбрать любой контейнер, в котором он будет располагаться, нажать на нем правой кнопкой мыши и выбрать «Создать - > Пользователь».
Откроется мастер создания пользователя. Здесь вы сможете указать множество его атрибутов, начиная с имени пользователя и временными рамками входа в домен и заканчивая настройками для терминальных служб и удаленного доступа. По завершении работы мастера вы получите нового пользователя домена. Нужно заметить, что в процессе создания пользователя система может «ругаться» на недостаточную сложность пароля или его краткость.
Объекта групповой политики рабочей станции, подсоединенной к домену 47. Применение политики контроллера домена Windows Server 2008 R2. сервер, поля «Полное имя» и « Описание » могут быть любыми. Далее. Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Wednesday 18 October 2006 от в Сетевые Операционные. На вкладке Имя компьютера указано полное имя вашего компьютера, а также имя домена или рабочей группы, к которым..
Смягчить требования можно, открыв «Политику безопасности домена» (Default Domain Security Settings) и далее «Параметры безопасности - > Политики учетных записей - > Политика паролей». Пусть мы создали пользователя Иван Иванов в контейнере Users (User Logon Name: ivanov@HQ. Если в системах NT 4 это имя играло лишь роль украшения, то в AD оно является частью имени в формате LDAP, которое целиком выглядит так: cn="Иван Иванов", cn="Users", dc="hq", dc="local"Здесь cn – container name, dc – domain component.
Описания объектов в формате LDAP используются для выполнения сценариев WSH (Windows Script Hosts) либо для программ, использующих протокол LDAP для связи с Active Directory. Для входа в домен Иван Иванов должен будет использовать имя в формате UPN (Universal Principal Name): ivanov@hq. Также в доменах AD будет понятно написание имени в старом формате NT 4 (пред Win. HQIvanov. При создании учетной записи пользователя ей автоматически присваивается идентификатор защиты (SID, Security Identifier) – уникальный номер, по которому система и определяет пользователей. Это очень важно понимать, так как при удалении учетной записи удаляется и ее SID и никогда не используется повторно. А каждая новая учетная запись будет иметь свой новый SID, именно поэтому она не сможет получить права и привилегии старой.
Учетную запись можно переместить в другой контейнер или OU, отключить или, наоборот, включить, копировать или поменять пароль. Копирование часто применяется для создания нескольких пользователей с одинаковыми параметрами. Рабочая среда пользователя. Учетные данные, хранящиеся централизованно на сервере, позволяют пользователям однозначно идентифицировать себя в домене и получать соответствующие права и доступ к рабочей среде. Все операционные системы семейства Windows NT используют для создания рабочего окружения на клиентской машине профиль пользователя.
Локальный профиль. Рассмотрим основные составляющие профиля пользователя: Раздел реестра, соответствующий определенному пользователю («улей» или «hive»). Фактически данные этой ветки реестра хранятся в файле NTUSER. DAT. Он располагается в папке %SYSTEMDRIVE%Documents and SettingsUser_name, которая содержит профиль пользователя.
Таким образом, при входе конкретного пользователя в систему в раздел реестра HKEY_CURRENT_USER загружается «улей» NTUSER. DAT из папки, содержащей его профиль. И все изменения настроек пользовательской среды за сеанс будут сохраняться именно в этот «улей». Файл NTUSER. DAT. LOG – это журнал транзакций, который существует для защиты файла NTUSER. DAT. Однако для пользователя Default User вы вряд ли его найдете, поскольку он является шаблоном.
Об этом далее. Администратор имеет возможность редактировать «улей» определенного пользователя прямо из своей рабочей среды. Для этого с помощью редактора реестра REGEDIT3. HKEY_USERS, а затем после внесения изменений выгрузить его. Папки файловой системы, содержащие файлы пользовательских настроек. Они располагаются в специальном каталоге %SYSTEMDRIVE%Documents and SettingsUser_name, где User_name – имя пользователя, вошедшего в систему. Здесь хранятся элементы рабочего стола, элементы автозагрузки, документы и др. Если пользователь впервые входит в систему, происходит следующее: Система проверяет, существует ли локальный профиль этого пользователя.
Не найдя его, система обращается к контроллеру домена в поиске доменного профиля по умолчанию, который должен располагаться в папке Default User на общем ресурсе NETLOGON; если система обнаружила этот профиль, он копируется локально на машину в папку %SYSTEMDRIVE%Documents and Settings с именем пользователя, в противном случае он копируется из локальной папки %SYSTEMDRIVE%Documents and SettingsDefault User. В раздел реестра HKEY_CURRENT_USER загружается пользовательский «улей». При выходе из системы все изменения сохраняются локально. В конечном итоге рабочее окружение пользователя – это объединение его рабочего профиля и профиля All Users, в котором находятся общие для всех пользователей данной машины настройки. Теперь несколько слов о создании профиля по умолчанию для домена. Создайте фиктивный профиль на своей машине, настройте его в соответствии с вашими нуждами либо с требованиями корпоративной политики. Затем выйдите из системы и снова зайдите как администратор домена.
На общем ресурсе NETLOGON- сервера создайте папку Default User. Далее при помощи вкладки User Profiles в апплете System (см. Domain Users или какой- либо другой подходящей группе безопасности. Все, профиль по умолчанию для вашего домена создан. Рисунок 3. Вкладка «User Profiles» апплета System. Перемещаемый профиль. Active Directory как гибкая и масштабируемая технология позволяет работать в среде вашего предприятия с перемещаемыми профилями, которые мы рассмотрим далее.
Одновременно с этим будет уместным рассказать о перенаправлении папок как одной из возможностей технологии Intelli. Mirror для обеспечения отказоустойчивости и централизованного хранения пользовательских данных.
Перемещаемые профили хранятся на сервере. Путь к ним указывается в настройках пользователя домена (см. Рисунок 4. Здесь указывается путь к перемещаемому профилю. При желании можно указать перемещаемые профили для нескольких пользователей одновременно, выделив нескольких пользователей, и в свойствах во вкладке «Профиль» указать %USERNAME% вместо папки с именем пользователя (см.
Рисунок 5. Путь к перемещаемым профилям нескольких пользователей. Процесс первого входа в систему пользователя, обладающего перемещаемым профилем, сродни описанному выше для локального, за некоторым исключением. Во- первых, раз путь к профилю в объекте пользователя указан, система проверяет наличие кэшированной локальной копии профиля на машине, далее все, как было описано.