Active directory в windows 7 где находится: Установка оснастки Active Directory в Windows 7
Установка оснастки Active Directory в Windows 7
В данной статье поговорим о том, как установить оснастки Active Directory в Windows 7. Как вы, наверное, помните, для того, чтобы в Windows XP появилась оснастка Active Directory Users and Computers (сокращенно ADUC), необходимо установить специальный набор утилит от Microsoft – Windows 2003 Admin Pack. В Windows 7 процесс установки консолей управления Active Directory несколько изменился.
Во-первых, Admin Pak теперь стал называться Remote Server Administration Tools (RSAT). Где найти и скачать RSAT для Windows 7 я уже писал. Обратите внимание, что существует несколько версий RSAT для Windows 7: версии будут отличаться в зависимости от разрядности вашей ОС (32 ил 64 –битная Window 7) и установленного Service Pack (скачать RSAT для Windows 7 SP1). Если вы не знаете, какая версия ОС используется у вас, нажмите кнопку Start, щелкните правой кнопочкой мыши по значку «Computer» и выберите «Properties». Окно с версией системы будет выглядеть примерно так:
В поле «System type:» будет указан тип вашей ОС Windows 7. В том случае, если вы используете 32 битную версию Windows 7, необходимо скачать файл, имя которого начинается с «x86…» (сейчас это «x86fre_GRMRSAT_MSU.msu», но имя может измениться). Для пользователей 64-битных систем, необходимо скачать файл, имя которого начинается с «amd64…» (сейчас это «amd64fre_GRMRSATX_MSU.msu») – это пакет подойдет даже в том случае, если вы используете процессор, отличный от AMD 64-bit.
После того, как вы скачаете RSAT для Windows 7, его нужно установить (в принципе это обычное обновление Microsoft KB).
Во-вторых, после установки RSAT в Windows 7, по умолчанию большинство дополнительных функций управления отключены, и оснастку управления Active Directory в Windows 7 нужно активировать вручную.
- Перейдите в панель управления Control Panel, выберите раздел Programs.
- В разделе Programs and Features, щелкните по ссылке Turn Windows features on or off.
- Перейдите в раздел Remote Server Administration Tools > Role Administration Tools, и выберите AD DS and AD LDS Tools.
После этого консоль ADUC и другие оснастки управления AD в Windows 7 появится в панели управления в разделе Administrative Tools.
Активировать оснастку «Active Directory User and Computer» в Windows 7 можно и из командной строки, однако в любом случае придется скачать и установить RSAT.
В командной строке с правами администратора наберите следующие команды, добавляющие оснастки Active Directory:
dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS
dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS-SnapIns
Администрирование домена из-под Windows 7
В Windows 7 очень не хватает оснасток: Active Directory Users and Computers, Active Directory Site and Services, DNS, DHCP и т.д., для администрирования домена Windows. Чтобы исправить этот недостаток компания Microsoft выпустила набор утилит под названием Remote Server Administration Tools for Windows 7. Этот пакет позволяет управлять ролями и функциями на удаленных серверах под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003.
Для его установки требуется…
Скачать Remote Server Administration Tools for Windows 7 отсюда: microsoft.com (примерно 215 МБ) и для Windows 7 SP1: ТУТ. После запуска установщика система предложит установить обновление KB958830.
Соглашаемся. Далее произойдет установка пакета RSAT.
После удачного завершения установки, нужно добавить необходимые инструменты в систему. Для этого идем в «Панель управления (Control Panel)» – «Программы и компоненты (Programs and Features)» – «Включение и отключение компонентов Windows (Turn Windows features on or off)» – «Средства удаленного администрирования сервера(Remote Server Administration Tools)». Ставим галки напротив нужных инструментов.
ОК. Теперь в «Панель управления\Администрирование» появились инструменты, которые мы выбрали.
До этого был только стандартный набор инструментов:
Все. Удачи
Скачать Remote Server Administration Tools for Windows 7 можно отсюда: microsoft.com и для Windows 7 SP1: ТУТ.
Как установить и настроить Active Directory
Active Directory представляет собой службы для системного управления. Они являются намного лучшей альтернативой локальным группам и позволяют создать компьютерные сети с эффективным управлением и надёжной защитой данных.
Если вы не сталкивались ранее с понятием Active Directory и не знаете, как работают такие службы, эта статья для вас. Давайте разберёмся, что означает данное понятие, в чём преимущества подобных баз данных и как создать и настроить их для первоначального пользования.
Active Directory — что это простыми словами
Active Directory — это очень удобный способ системного управления. С помощью Active Directory можно эффективно управлять данными.
Указанные службы позволяют создать единую базу данных под управлением контроллеров домена. Если вы владеете предприятием, руководите офисом, в общем, контролируете деятельность множества людей, которых нужно объединить, вам пригодится такой домен.
В него включаются все объекты — компьютеры, принтеры, факсы, учётные записи пользователей и прочее. Сумма доменов, на которых расположены данные, именуется «лесом». База Active Directory — это доменная среда, где количество объектов может составлять до 2 миллиардов. Представляете эти масштабы?
То есть, при помощи такого «леса» или базы данных можно соединить большое количество сотрудников и оборудования в офисе, причём без привязки к месту — в службах могут быть соединены и другие юзеры, например, из офиса компании в другом городе.
Кроме того, в рамках служб Active Directory создаются и объединяются несколько доменов — чем больше компания, тем больше средств необходимо для контроля её техники в рамках базы данных.
Далее, при создании такой сети определяется один контролирующий домен, и даже при последующем наличии других доменов первоначальный по-прежнему остаётся «родительским» — то есть только он имеет полный доступ к управлению информацией.
Где хранятся эти данные, и чем обеспечивается существование доменов? Чтобы создать Active Directory, используются контроллеры. Обычно их ставится два — если с одним что-то произойдёт, информация будет сохранена на втором контроллере.
Ещё один вариант использования базы — если, например, ваша компания сотрудничает с другой, и вам предстоит выполнить общий проект. В таком случае может потребоваться доступ посторонних личностей к файлам домена, и здесь можно настроить своего рода «отношения» между двумя разными «лесами», открыть доступ к требуемой информации, не рискуя безопасностью остальных данных.
В общем, Active Directory является средством для создания базы данных в рамках определённой структуры, независимо от её размеров. Пользователи и вся техника объединяются в один «лес», создаются домены, которые размещаются на контроллерах.
Ещё целесообразно уточнить — работа служб возможна исключительно на устройствах с серверными системами Windows. Помимо этого, на контроллерах создаётся 3-4 сервера DNS. Они обслуживают основную зону домена, а в случае, когда один из них выходит из строя, его заменяют прочие серверы.
После краткого обзора Active Directory для чайников, вас закономерно интересует вопрос — зачем менять локальную группу на целую базу данных? Естественно, здесь поле возможностей в разы шире, а чтобы выяснить другие отличия данных служб для системного управления, давайте детальнее рассмотрим их преимущества.
Преимущества Active Directory
Плюсы Active Directory следующие:
- Использование одного ресурса для аутентификации. При таком раскладе вам нужно на каждом ПК добавить все учётные записи, требующие доступ к общей информации. Чем больше юзеров и техники, тем сложнее синхронизировать между ними эти данные.
Далее, чтобы изменить пароль на одной учётной записи, для этого необходимо менять его на остальных ПК и серверах. Логично, что при большем количестве пользователей требуется более продуманное решение.
И вот, при использовании служб с базой данных учётные записи хранятся в одной точке, а изменения вступают в силу сразу же на всех компьютерах.
Как это работает? Каждый сотрудник, приходя в офис, запускает систему и выполняет вход в свою учётную запись. Запрос на вход будет автоматически подаваться к серверу, и аутентификация будет происходить через него.
Что касается определённого порядка в ведении записей, вы всегда можете поделить юзеров на группы — «Отдел кадров» или «Бухгалтерия».
Ещё проще в таком случае предоставлять доступ к информации — если нужно открыть папку для работников из одного отдела, вы делаете это через базу данных. Они вместе получают доступ к требуемой папке с данными, при этом для остальных документы так и остаются закрытыми.
- Контроль над каждым участником базы данных.
Если в локальной группе каждый участник независим, его трудно контролировать с другого компьютера, то в доменах можно установить определённые правила, соответствующие политике компании.
Вы как системный администратор можете задать настройки доступа и параметры безопасности, а после применить их для каждой группы пользователей. Естественно, в зависимости от иерархии, одним группам можно определить более жёсткие настройки, другим предоставить доступ к иным файлам и действиям в системе.
Кроме того, когда в компанию попадает новый человек, его компьютер сразу же получит нужный набор настроек, где включены компоненты для работы.
- Универсальность в установке программного обеспечения.
Кстати, о компонентах — при помощи Active Directory вы можете назначать принтеры, устанавливать необходимые программы сразу же всем сотрудникам, задавать параметры конфиденциальности. В общем, создание базы данных позволит существенно оптимизировать работу, следить за безопасностью и объединить юзеров для максимальной эффективности работы.
А если на фирме эксплуатируется отдельная утилита или специальные службы, их можно синхронизировать с доменами и упростить к ним доступ. Каким образом? Если объединить все продукты, использующиеся в компании, сотруднику не нужно будет вводить разные логины и пароли для входа в каждую программу — эти сведения будут общими.
Теперь, когда становятся понятными преимущества и смысл использования Active Directory, давайте рассмотрим процесс установки указанных служб.
Используем базу данных на Windows Server 2012
Установка и настройка Active Directory — весьма нетрудное дело, а также выполняется проще, чем это кажется на первый взгляд.
Чтобы загрузить службы, для начала необходимо выполнить следующее:
- Поменять название компьютера: нажмите на «Пуск», откройте Панель управления, пункт «Система». Выберите «Изменить параметры» и в Свойствах напротив строки «Имя компьютера» кликните «Изменить», впишите новое значение для главного ПК.
- Выполните перезагрузку по требованию ПК.
- Задайте настройки сети так:
- Через панель управления откройте меню с сетями и общим доступом.
- Откорректируйте настройки адаптера. Правой клавишей нажмите «Свойства» и откройте вкладку «Сеть».
- В окне из списка кликните на протокол интернета под номером 4, опять нажмите на «Свойства».
- Впишите требуемые настройки, например: IP-адрес — 192.168.10.252 , маска подсети — 255.255.255.0, основной подшлюз — 192.168.10.1.
- В строке «Предпочтительный DNS-сервер» укажите адрес локального сервера, в «Альтернативном…» — другие адреса DNS-серверов.
- Сохраните изменения и закройте окна.
Установите роли Active Directory так:
- Через пуск откройте «Диспетчер сервера».
- В меню выберите добавление ролей и компонентов.
- Запустится мастер, но первое окно с описанием можно пропустить.
- Отметьте строку «Установка ролей и компонентов», перейдите дальше.
- Выберите ваш компьютер, чтобы поставить на него Active Directory.
- Из списка отметьте роль, которую нужно загрузить — для вашего случая это «Доменные службы Active Directory».
- Появится небольшое окно с предложением загрузки необходимых для служб компонентов — примите его.
- После вам предложат установить другие компоненты — если они вам не нужны, просто пропустите этот шаг, нажав«Далее».
- Мастер настройки выведет окно с описаниями устанавливаемых вами служб — прочтите и двигайтесь дальше.
- Появиться перечень компонентов, которые мы собираемся установить — проверьте, всё ли верно, и если да, жмите на соответствующую клавишу.
- По завершении процесса закройте окно.
- Вот и всё — службы загружены на ваш компьютер.
Настройка Active Directory
Для настройки доменной службы вам нужно сделать следующее:
- Запустите одноимённый мастер настройки.
- Кликните на жёлтый указатель вверху окна и выберите «Повысить роль сервера до уровня контроллера домена».
- Нажмите на добавление нового «леса» и создайте имя для корневого домена, затем кликните «Далее».
- Укажите режимы работы «леса» и домена — чаще всего они совпадают.
- Придумайте пароль, но обязательно запомните его. Перейдите далее.
- После этого вы можете увидеть предупреждение о том, что домен не делегирован, и предложение проверить имя домена — можете пропустить эти шаги.
- В следующем окне можно изменить путь к каталогам с базами данных — сделайте это, если они вам не подходят.
- Теперь вы увидите все параметры, которые собираетесь установить — просмотрите, правильно ли выбрали их, и идите дальше.
- Приложение проверит, выполняются ли предварительные требования, и если замечаний нет, или они некритичны, жмите «Установить».
- После окончания инсталляции ПК самостоятельно перегрузиться.
Ещё вам может быть интересно, как добавить юзера в базу данных. Для этого воспользуйтесь меню «Пользователи или компьютеры Active Directory», которое вы найдёте в разделе «Администрирование» в панели управления, или эксплуатируйте меню настроек базы данных.
Чтобы добавить нового юзера, нажмите правой клавишей по названию домена, выберите «Создать», после «Подразделение». Перед вами появится окно, где нужно ввести имя нового подразделения — оно служит папкой, куда вы можете собирать пользователей по разным отделам. Таким же образом вы позже создадите ещё несколько подразделений и грамотно разместите всех сотрудников.
Далее, когда вы создали имя подразделения, нажмите на него правой клавишей мыши и выберите «Создать», после — «Пользователь». Теперь осталось только ввести необходимые данные и поставить настройки доступа для юзера.
Когда новый профиль будет создан, нажмите на него, выбрав контекстное меню, и откройте «Свойства». Во вкладке «Учётная запись» удалите отметку напротив «Заблокировать…». На этом всё.
Общий вывод таков — Active Directory это мощный и полезный инструмент для системного управления, который поможет объединить все компьютеры сотрудников в одну команду. С помощью служб можно создать защищённую базу данных и существенно оптимизировать работу и синхронизацию информации между всеми пользователями. Если деятельность вашей компании и любого другого места работы связана с электронными вычислительными машинами и сетью, вам нужно объединять учётные записи и следить за работой и конфиденциальностью, установка базы данных на основе Active Directory станет отличным решением.
Установка оснастки AD в Windows 7
Active Directory
Admin Pak теперь стал называться Remote Server Administration Tools (RSAT).
скачать RSAT для Windows 7
после установки RSAT в Windows 7, по умолчанию большинство дополнительных функций управления отключены, и оснастку управления Active Directory в Windows 7 нужно активировать вручную.
- Перейдите в панель управления Control Panel, выберите раздел Programs.
- В разделе Programs and Features, щелкните по ссылке Turn Windows features on or off.
- Перейдите в раздел Remote Server Administration Tools > Role Administration Tools, и выберите AD DS and AD LDS Tools.
После этого консоль ADUC и другие оснастки управления AD в Windows 7 появится в панели управления в разделе Administrative Tools.
В командной строке с правами администратора наберите следующие команды, добавляющие оснастки Active Directory:
dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS-SnapIns
Понравилось это:
Нравится Загрузка…
Похожее
Установка и первоначальная настройка Active Directory на Windows Server 2012
Итак, начнем с теории. Active Directory (далее AD) — служба каталогов корпорации Microsoft для ОС семейства WindowsNT. AD позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать ПО на множестве компьютеров через групповые политики посредством System Center Configuration Manager, устанавливать и обновлять ОС. AD хранит данные и настройки среды в централизованной базе данных. Сети AD могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
Приступим.
2. Подготовка
Что бы установить роль AD нам необходимо:
1) Задать адекватное имя компьютеру
Открываем Пуск -> Панель управления -> Система, слева жмем на «Изменить параметры«. В «Свойствах системы» на вкладке «Имя компьютера» нажимаем кнопку «Изменить» и в поле «Имя компьютера» вводим имя (я ввел ADserver) и жмем «ОК«. Появится предупреждение о необходимости перезагрузки системы, что бы изменения вступили в силу, соглашаемся нажав «ОК«. В «Свойствах системы» жмем «Закрыть» и соглашаемся на перезагрузку.
2) Задать настройки сети
Открываем Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменить параметры адаптера. После нажатия правой кнопкой на подключении выбираем пункт «Свойства» из контекстного меню. На вкладке «Сеть» выделяем «Протокол интернета версии 4 (TCP/IPv4)» и жмем «Свойства«.
Я задал:
IP-адрес: 192.168.10.252
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.10.1
Предпочтительный DNS-сервер: 127.0.0.1 (так как тут будет располагаться локальный DNS-сервер)
Альтернативный DNS-сервер: 192.168.10.1
После чего жмем «ОК» и «Закрыть«.
Подготовка закончилась, теперь преступим к установке роли.
3. Установки роли
Для установки роли AD на компьютер откроем Пуск -> Диспетчер сервера. Выберем «Добавить роли и компоненты«.
После чего запустится «Мастер добавления ролей и компонентов«.
3.1 На первом этапе мастер напоминает, что нужно сделать перед началом добавления роли на компьютер, просто нажимаем «Далее«.
3.2 Теперь выбираем «Установка ролей и компонентов» и жмем «Далее«.
3.3 Выберем компьютер, на котором хотим установить роль AD и опять «Далее«.
3.4 Теперь нужно выбрать какую роль мы хотим установить, выбираем «Доменные службы Active Directory» и нам предложат установить необходимые компоненты и службы ролей для роли AD соглашаемся нажав «Добавить компоненты» и опять «Далее«.
3.5 Тут предложат установить компоненты, но нам они пока не нужны, так что просто жмем «Далее«.
3.6 Теперь нам выведут описание роли «Доменных служб Active Directory«. Прочитаем внимательно и жмем «Далее«.
3.7 Мы увидим, что же именно мы будем ставить на сервер, если все хорошо, то жмем «Установить«.
3.8 После установки просто жмем «Закрыть«.
4. Настройка доменных служб Active Directory
Теперь настроим доменную службу запустив «Мастер настройки доменных служб Active Directory» (жмем на иконку «Уведомления» (флажок) в «Диспетчере сервера» и после этого выбираем «Повысить роль этого сервера до уровня контроллера домена«).
4.1 Выбираем «Добавить новый лес» и вписываем наш домен в поле «Имя корневого домена» (я решил взять стандартный домен для таких случаев test.local) и жмем «Далее«.
4.2 В данном меню можно задать совместимость режима работы леса и корневого домена. Так как у меня все с нуля я оставлю по умолчанию (в режиме работы «Windows Server 2012«). А еще можно отключить DNS-сервер, но я решил оставить это, так как хочу иметь свой локальный DNS-сервер. И еще необходимо задать пароль DSRM(Directory Service Restore Mode — режим восстановления службы каталога), задаем пароль и тыкаем «Далее«.
4.3 На данном этапе мастер настройки предупреждает нас, что домен test.local нам не делегирован, ну это и логично, нам ни кто его не давал, он будет существовать только в нашей сети, так, что жмем просто «Далее«.
4.4 Можно изменить NetBIOS имя, которое было автоматически присвоено, я не буду этого делать, так, что жмем «Далее«.
4.5 Тут можем изменить пути к каталогам базы данных AD DS (Active Directory Domain Services — доменная служба AD), файлам журнала, а так же каталогу SYSVOL. Не вижу смысла в изменении, так что просто жмем «Далее«.
4.6 Теперь мы видим небольшой итог, какие настройки мы выбрали.
Тут же, нажав на кнопку «Просмотреть сценарий» мы можем увидеть PowerShell сценарий для развертывания AD DS выглядит он примерно так:
Жмем «Далее«.
4.7 Мастер проверит соблюдены ли предварительные требования, видим несколько замечаний, но они для нас не критичны, так что жмем кнопку «Установить«.
4.8 После завершения установки, компьютер перезагрузится.
5. Добавление нового пользователя
5.1 Запустим Пуск -> Панель управления -> Администрирование -> Пользователи и компьютеры Active Directory. Или через панель управления сервером:
5.2 Выделяем название домена (test.local), нажимаем правой кнопкой и выбираем «Создать» -> «Подразделение«.
После чего вводим имя подразделения, а так же можем снять защиту контейнера от случайного удаления. Нажимаем «ОК«.
Подразделения служат для того, что бы удобно управлять группами компьютеров, пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компаний, в которой они работают (Бухгалтерия, ИТ, отдел кадров, менеджеры и т.д.)
5.3 Теперь создадим пользователя в подразделении «Пользователи«. Правой кнопкой на подразделение и выбираем в нем «Создать» -> «Пользователь«. И заполняем основные данные: Имя, Фамилия, логин.
Подразделения служат для того, что бы удобно управлять группами компьютеров, пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компаний, в которой они работают (Бухгалтерия, ИТ, отдел кадров, менеджеры и т.д.)
Жмем «Далее«.
Теперь зададим пароль, для пользователя. Так же тут можно задать такие вещи как:
— Требовать смены пароля пользователя при следующем входе в систему — при входе пользователя в наш домен, ему будет предложено сменить пароль.
— Запретить смену пароля пользователем — отключает возможность смены пароля пользователем.
— Срок действия пароля не ограничен — пароль можно не менять сколько угодно.
— Отключить учетную запись — делает учетную запись пользователя не активной.
Жмем «Далее«.
И теперь «Готово«.
5.4 Выделим созданного пользователя и в контекстном меню выберем «Свойства«. На вкладке «Учетная запись» ставим галочку напротив «Разблокировать учетную запись«, после чего нажимаем «Применить«, затем «ОК«.
6. Ввод компьютера в домен
6.1 Для начала, создадим новую виртуальную машину с Windows 7 на борту. Зададим ему настройки сети, где:
IP-address: 192.168.10.101
Subnet mask: 255.255.255.0
Default gateway: 192.168.10.1 (vyatta, где настроен NAT из мой прошлой заметки)
Preferred DNS server: 192.168.10.252 (AD сервер, который мы настраивали выше)
Alternate DNS server: 192.168.10.1 (опять vyatta, так как он проксирует DNS запросы на Google DNS сервер 8.8.8.8)
6.2 Переходим в Start -> правой кнопкой на Computer -> Properties -> Change settings. Жмем кнопку Change напротив The rename this computer or change its domain or workgrup, click Change. Зададим имя компьютера и введем имя домена: test.local и жмем «ОК«.
Введем логин и пароль заново
После успешного добавления в домен увидим сообщение:
6.3 После перезагрузки компьютера увидим сообщение о логине в систему. Жмем Switch User.
Нажмем на Other User.
И введем логин и пароль.
Вот мы и залогинились как пользователь домена. Ура!)
Служба Windows Active Directory: что это простыми словами
Службы Active Directory (AD) — решение от компании Microsoft позволяющее объединить различные объекты сети (компьютеры, сервера, принтера, различные сервисы) в единую систему. В данном случае AD выступают в роли каталога (базы данных), в котором хранится информация о пользователях, ПК, серверах, сетевых и периферийных устройствах.
Для реализации данного решения, необходим специальный сервер — контроллер домена. Именно он будет выполнять функции аутентификации пользователей и устройств в сети, а также выступать в качестве хранилища базы данных. При попытке использовать любой из объектов (ПК, сервер, принтер) сети, выполняется обращение к контроллеру домена, который либо разрешает это действие (есть необходимые права), либо блокирует его.
Давайте разберемся в возможностях Active Directory, а также особенностях реализации, необходимых для надежной работы.
Единая точка аутентификации
Поскольку контроллер домена Active Directory хранит всю информацию об инфраструктуре и пользователях, вы легко можете использовать его для входа систему. Так, все данные пользователей (логины и пароли) хранятся в единой базе данных, что существенно упрощает работу с ними. При авторизации все компьютеры обращаются к этой базе данных, благодаря чему вносимые изменения будут применены ко всем компьютерам сети. Также с помощью AD реализуются политики безопасности, благодаря котором можно ограничить (либо разрешить) доступ к определенным серверам.
Удобное управление политиками
С помощью Active Directory можно поделить компьютеры на различные рабочие группы (организационные подразделения). Это существенно упрощает использование инфраструктуры в двух случаях:
- Изменение существующих настроек группы. Поскольку настройки хранятся в единой базе данных, при их модификации, они будут применены для всех компьютеров, относящихся к этой группе.
- Добавление нового пользователя. Он автоматически получает установленные для его группы настройки, что существенно ускоряет создание новой учетной записи.
В зависимости от пользователя (учетной записи, которая используется) и его группы можно ввести ограничение на использование функционала операционной системы. Например, вы можете ограничить установку приложений всем кроме администраторов.
Безопасность
Службы Active Directory существенно увеличивают защиту корпоративной сети. Так, все данные (учетные записи) хранятся на контроллерах доступа, которые защищены от внешнего доступа. Кроме того, для аутентификации в AD используется протокол Kerberos (протокол для взаимной аутентификации клиента и сервера перед установкой соединения, в нем учтена перехвата и модификации пакетов, что повышает его надежность), который значительно безопаснее аналога в рабочих группах.
Удобный обмен файлами
С помощью AD достаточно легко реализуется технология Distributed File System (DFS), которая используется для управления файлами. Фактически, это распределенная сеть для хранения файлов — физически они располагаются на нескольких серверах, но логически находятся в одном месте.
Это удобная функция, позволяющая масштабировать существующую инфраструктуру, добавляя новые сервера, а не заменяя ими старые.
Интеграция сервисов и оборудования
Службы Active Directory позволяют организовать все оборудование и сервисы в единую систему. Например, присутствует поддержка стандарта LDAP (протокол для доступа к службе каталогов X.500), который позволяет работать с почтовыми и прокси серверами (Exchange Server и ISA Server соответственно). Поддерживаются не только продукты Microsoft, но и сторонние решения:
- IP-телефония;
- 1С;
- шлюз удаленных рабочих столов (Remote Desktop Gateway).
Стоит отметить, возможность интеграции с Windows Server используя протокол RADIUS. Благодаря которому можно использовать VPN подключение для работы вне офиса.
Особенности Active Directory
Active Directory является центральным узлом инфраструктуры предприятия, поэтому в случае его отказа все ПК и сервера будут недоступны. Поэтому можно выделить несколько основных пунктов, позволяющих обеспечить бесперебойное круглосуточное функционирование системы.
Наличие дублирующего контроллера доменов
Вся база данных хранится на контроллере доменов Active Directory, поэтому при его отказе, вся система будет недоступна. Для обеспечения отказоустойчивости следует развернуть 1 или более дублирующих контроллеров доменов и настроить автоматическую репликацию всех изменений. В данном случае, при выходе из строя одного из контроллеров работоспособность сети не нарушается, ведь оставшиеся продолжают работать.
Регулярные бэкапы
Надежная система резервного копирования позволяет быстро восстановить работоспособность сервера. При использовании одного контроллера доменов резервное копирование не позволяет избежать простоя, но значительно снижает временные затраты на восстановление сервера.
Отличным решением будет использование и резервного копирования, и дублирующего контроллера доменов. В It-lite используется оба решения, что позволяет гарантировать высокую надежность системы.
Внедрение Active Directory
Как видим, работоспособность служб AD влияет на возможность использовать всю IT-инфраструктуру компании. Поэтому рациональнее обратиться к квалифицированным специалистам, что позволит достичь максимальной надежности. Наши сотрудники обладают большим опытом работы с Active Directory (службы используются внутри компании) и оказывают услуги по внедрению (разработке с нуля), настройке и поддержке AD. Кроме того, специалисты IT-Lite могут выполнить миграцию со старых версий Active Directory на новые.
Управление Active Directory, инструментарий администратора
Добрый день! Уважаемые читатели и гости, одного из крупнейших IT блогов на просторах рунета Pyatilistnik.org. В прошлый раз я вам подробно рассказал, как производится установка Active Directory в Windows Server 2019. Мало поставить AD нужно еще ей уметь управлять. В данной заметке я вам покажу весь инструментарий, который позволит вам производить администрирование Active Directory по всем направлениям. Данный набор утилит и оснасток просто обязан знать системный администратор и уметь его применять на практике в своей работе.
Список инструментов по управлению Active Directory
Когда люди говорят про администрирование доменных служб Active Directory, то у каждого в этом понятии свои представления со своими утилитами. Ниже я вам хочу подробно рассказать, о всех утилитах и инструментах. Среди инструментов администрирования службой Active Directory существуют как графические оснастки, так и утилиты командной строки или PowerShell, давайте с ними знакомиться.
- Оснастка «Active Directory Пользователи и компьютеры» (Active Directory Users and Computers) — Данная оснастка является краеугольной в инфраструктуре доменных служб AD. Ее так же называют еще сокращенно ADUC. В ней вы спокойно можете:
- Создавать и полностью администрировать учетные записи пользователей, компьютеров и групп безопасности
- Менять, сбрасывать пароли
- Создавать организационные подразделения OU, для структурирования и выстраивания иерархической системы распределения учетных записей в AD. Делают это для правильного применения групповых политик и возможного делегирования. Когда на отдельную OU вы захотите дать права доступа и управления не администратору домена.
- Просматривать атрибуты объектов. Атрибутов в схеме AD очень много и можно создавать и добавлять свои.
Выглядит оснастка «Active Directory Пользователи и компьютеры» вот так. В левом столбе у вас будет ваша иерархическая структура, состоящая из контейнеров и организационных подразделений OU.Выбрав нужную OU вы увидите список объектов, которые в ней находятся. Тут могут быть группы безопасности, контакты, пользователи и компьютеры. У встроенных записей уже сразу будет идти описание в виде назначения и тип.
- Центр администрирования Active Directory — данная оснастка управления появилась еще в Windows Server 2012 и построена она полностью на PowerShell. Компания Microsoft в момент продвижения своего нового языка управления, за счет данного центра администрирования показывала администраторам, как бы выглядела команда из графического GUI интерфейса в виде командлетов. Данная оснастка позволяет на выходе получать готовые команды. Так же вы тут сможете управлять из графического интерфейса политиками паролей Active Directory (PSO)
Данная оснастка будет чем-то напоминать «Диспетчер серверов» по внешнему виду. Будет с левой стороны отображать контейнеры и OU, по центру их содержимое, а справа панель с действиями.
- Оснастка Active Directory — Домены и доверие (Active Directory Domains and Trusts). Как не трудно догадаться, она позволяет управлять транзитивными, односторонними, двусторонними отношениями между различными доменами и серверами поддерживающими kerberos 5 и выше. Данную оснастку используют довольно редко, в основном между крупными и средними компаниями, когда нужно настроить авторизацию учетных записей одного домен в другом, или предоставить доступ к ресурсам одного домена из другого. Выглядит оснастка «Active Directory — Домены и доверие» вот так. В левой части у вас будет список ваших доменов и поддоменов. Открыв их свойства на вкладке «Отношения доверия» вы увидите список доменов, тип доверия и транзитивность. В свойствах каждой записи можно посмотреть и настроить направление доверия.
- Продолжаем рассматривать средства администрирования Active Directory, следующим инструментом у нас будет консоль управления AD — сайты и службы (Active Directory Site and Service). В задачи данной оснастки входит разделение ваших доменов и сайтов на сегменты репликации. По умолчанию контроллеры домена реплицируются каждые 15 минут, когда они находятся в одной локальной сети, то это не проблема, но представим себе ситуацию, что у вас есть головной офис и региональный, в каждом из офисов свои контроллеры. Канал между офисами сделан по VPN на Juniper или Cisco. Понятно, что это некая точка отказа и не у всех есть деньги на хорошую скорость, поэтому с репликами могут быть проблемы. Так же можете получиться такая ситуация, что пользователь из региона будет пытаться авторизоваться на контроллере домена из головного офиса, что повлечет задержки в его входе на компьютер, хотя у него под боком стоят свои контроллеры в локальной сети.
Для таких случаев и применяется оснастка «сайты и службы». Позволяя сегментировать по сетям сайты в которые будут входить свои локальные контроллеры домена, которые будут иметь приоритет при поиске пользователем DC при авторизации, если их не найдет, то пойдет в другой сайт. Выглядит оснастка управления вот так. Тут кстати можно задавать промежутки в репликации или же запустить ее вручную.
- Утилита ADSIEdit, она же редактор атрибутов Active Directory. Про данную утилиту я подробно уже рассказывал, советую почитать, если в нескольких словах, то в ее задачи входит в удобном виде дать пользователю инструмент по редактированию схемы, конфигурации или контекста именования. Тут вы можете менять нужные вам атрибуты у объектов AD, просматривать текущие и многое другое. Выглядит это вот так, слева вы все так же видите иерархию контейнеров, справа записи и в свойствах их атрибуты.
- Следующее средство управления Active Directory, это инструмент LDP.exe, входит в состав операционной системы. LDP — это бесплатный клиент протокола доступа к каталогам Light (LDAP) с графическим интерфейсом, который позволяет выполнять операции и поиск LDAP, а также просматривать метаданные. Напоминаю, что LDAP работает по порту 389.
- Еще одно средство администрирования AD, это Active Directory Replication Status Tool. Средство проверки состояния репликации Active Directory (ADREPLSTATUS) анализирует состояние репликации для контроллеров домена в домене или лесу Active Directory. ADREPLSTATUS отображает данные в формате, аналогичном REPADMIN / SHOWREPL * /CSV, импортированному в Excel, но со значительными улучшениями.
Конкретные возможности для этого инструмента включают в себя:
- Выставлять ошибок репликации AD, возникающие в домене или лесу
- Распределяет приоритеты по ошибкам, которые необходимо устранить, чтобы избежать создания устаревших объектов в лесах Active Directory.
- Помогает администраторам и специалистам службы поддержки устранять ошибки репликации, используя ссылки на материалы по устранению неполадок репликации Active Directory в Microsoft TechNet
- Разрешает экспорт данных репликации администраторам исходного или конечного домена или специалистам службы поддержки для автономного анализа.
Выглядит ADREPLSTATUS вот таким образом.
- Утилита командной строки DSADD — это инструмент командной строки, встроенный начиная с Windows Server 2008. Он доступен, если у вас установлена роль сервера доменных служб Active Directory (AD DS). Чтобы использовать dsadd , вы должны запустить команду dsadd из командной строки с повышенными привилегиями. Утилита позволяет создавать объекты в Active Directory (Пользователей, компьютеры, группы)
- Утилита командной строки DSGET — выводит вам свойства у объектов в базе AD. Когда не было еще командлетов, это было одно из моих любимых средств администрирования Active Directory
- Утилита командной строки DSMOD— позволяет вносить изменения в свойства объектов AD
- Утилита командной строки DSMOVE — позволяет перемещать объекты
- Утилита командной строки DSQUERY — позволяет делать поисковые запросы в базе данных AD
- Утилита командной строки DSRM — для удаления объектов в AD
- Утилита командной строки repadmin — это одно из главнейших средств, которое должен знать системный администратор. В большинстве случаев репликация Active Directory работает довольно хорошо. Однако, когда процесс репликации прерывается, устранение неполадок иногда может быть на удивление трудным. К счастью, операционная система Windows включает инструмент командной строки Repadmin, который можно использовать для диагностики (а в некоторых случаях и исправления) репликации Active Directory. Я уже приводил вам пример работы утилиты, когда мы проверяли репликацию на контроллерах домена.
- Утилиты командной строки redirusr и redircmp — первый инструмент позволяет переназначить контейнер по умолчанию для пользователей в Active Directory с «User» на нужный администратору. Инструмент redircmp делает то же самое, но для компьютеров. По умолчанию идет контейнер «Computers». Удобно менять месторасположение для компьютеров, для того, чтобы при вводе их в домен, к ним сразу применялись групповые политики, которые напомню к контейнерам не применяются, кроме изначально созданных.
- Самое мощное средство для администрирования и управления Active Directory, это модуль со специальными командлетами PowerShell. Называется он «Модуль Active Directory для Windows PowerShell». Существует огромнейший пласт команд, который помогут вам автоматизировать и выжать из AD все соки, это незаменимое средство для массовых изменений настроек, поиска и выборки элементов.
Полный список командлетов для AD https://docs.microsoft.com/en-us/powershell/module/addsadministration/?view=win10-ps
- Утилита командной строки dcdiag. Как видно из названия она используется для поиска проблем в доменных службах. Утилита позволяет выполнить до 20 тестов над инфраструктурой Active Directory. DCDiag — анализирует состояние контроллеров домена в лесу или на предприятии и сообщает о любых проблемах, помогающих в устранении неполадок, она содержит подробные сведения о том, как выявлять ненормальное поведение в системе.
- Когда речь идет про управление Active Directory инфраструктурой, то нельзя обойти вниманием утилиты Марка Русиновича Sysinternals. Первый инструмент ADExplorer — это расширенный просмотрщик и редактор Active Directory (AD). Вы можете использовать AD Explorer для удобной навигации по базе данных AD, определения избранных местоположений, просмотра свойств и атрибутов объекта без необходимости открывать диалоговые окна, редактировать разрешения, просматривать схему объекта и выполнять сложные поиски, которые можно сохранить и повторно выполнить.AD Explorer также включает в себя возможность сохранять снимки базы данных AD для автономного просмотра и сравнения (Снапшоты AD). Когда вы загружаете сохраненный снимок, вы можете перемещаться и исследовать его, как если бы вы работали с действующей базой данных. Если у вас есть два снимка базы данных AD, вы можете использовать функцию сравнения AD Explorer, чтобы увидеть, какие объекты, атрибуты и разрешения безопасности изменились между ними. Удобно для расследования инцидентов по безопасности.
- Утилита администрирования ADInsight — это инструмент мониторинга в реальном времени LDAP (облегченный протокол доступа к каталогам), предназначенный для устранения неполадок клиентских приложений Active Directory. Используйте подробное отслеживание связей клиент-сервер Active Directory для решения проблем аутентификации Windows, Exchange, DNS и других проблем.ADInsight использует методы внедрения DLL для перехвата вызовов, которые приложения выполняют в библиотеке Wldap32.dll, которая является стандартной библиотекой, лежащей в основе API-интерфейсов Active Directory, таких как ldap и ADSI. В отличие от инструментов сетевого мониторинга, ADInsight перехватывает и интерпретирует все клиентские API, включая те, которые не приводят к передаче на сервер. ADInsight отслеживает любой процесс, в который он может загрузить свою трассируемую DLL, что означает, что ему не требуются административные разрешения, однако при запуске с правами администратора он также будет отслеживать системные процессы, включая службы Windows.
- Утилита командной строки AdRestore — утилита для восстановления удаленных объектов в AD. На текущий момент не актуальна, так как уже начиная с Windows Server 2008 R2 была реализована функция корзины Active Directory, которая легко справляется с восстановлением.
- Оснастка редактор управления групповыми политиками — позволяет применять политики на организационные подразделения и объекты находящиеся в них. Централизованное, массовое распространение настроек.
На этом у меня все, если у вас есть еще интересные инструменты по управлению и администрированию Active Directory, то пишите о них в комментариях, дополню статью. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.-
Windows 7 — Как установить инструменты Active Directory — пользователи и компьютеры
Инструменты Active Directory — пользователи и компьютеры входят в состав серверных инструментов Microsoft. После установки серверных инструментов вы можете добавить на компьютер функции инструментов «Active Directory — пользователи и компьютеры». Приведенные ниже шаги подробно описывают, как это сделать.
Шаг 1. Загрузите с веб-сайта Microsoft
- Загрузите пакет здесь: http://www.microsoft.com/en-AU/download/details.aspx? id = 7887 — убедитесь, что вы выбрали правильный для вашей системы, 32-битный или 64-битный
Шаг 2. Установите пакет обновления
- Когда вы запустите пакет обновления, вы увидите это сообщение, в котором объясняется, что вы можете установить обновление — нажмите «Да»
- Затем, прочитав и согласившись с условиями, нажмите «Я принимаю»
- Установка займет несколько минут, после завершения нажмите «Закрыть»
Шаг 3. Включите «функцию»
- Откройте меню «Пуск» Windows и в поле поиска введите «Программы и компоненты» .
- Когда он появится выше, щелкните значок «Программы и компоненты»
- В левой части окна щелкните ссылку «Включение или отключение функций Windows»
- Разверните Инструменты удаленного администрирования сервера> Инструменты администрирования ролей> Инструменты AD DS и AD LDS> Инструменты AD DS
- Поставьте галочку рядом с «Центр администрирования Active Directory»
.
Что такое Active Directory — пользователи и компьютеры и как ее установить
Первоначально опубликовано в январе 2017 г. и обновлено в октябре 2019 г.
ИТ-администраторы работают с Active Directory с момента появления этой технологии в Windows 2000 Server. Windows 2000 Server была выпущена 17 февраля 2000 года, но многие администраторы начали работать с Active Directory раньше, когда она была выпущена в производство (RTM) 15 декабря 1999 года.
Для Active Directory существует множество инструментов.Инструмент, который мы рассмотрим сегодня, — это пользователи и компьютеры Active Directory (ADUC), выпущенный вместе с Windows 2000 Server.
Что такое пользователи и компьютеры Active Directory (ADUC)?
ADUC — это оснастка консоли управления Microsoft (MMC), которая позволяет администраторам управлять объектами Active Directory, включая пользователей, компьютеры, группы, организационные единицы (OU) и атрибуты. Хотя функции ADUC (наряду со многими другими функциями) были включены в новый инструмент под названием Центр администрирования Active Directory, ADUC остается популярным инструментом, который администраторы используют для управления своими средами.
Управление объектом включает очевидные задачи, такие как сброс паролей пользователей (у Netwrix есть бесплатный инструмент для массового сброса паролей), добавление пользователей в группы безопасности и перемещение компьютерных объектов. Однако параметр Advanced Features в ADUC также позволяет управлять контейнером LostAndFound, квотами NTDS, данными программы и системной информацией. Этот вид не включен по умолчанию, но его можно включить в меню «Просмотр».
Параметр «Дополнительные функции» добавляет множество вкладок на страницу свойств объекта, в том числе «Опубликованные сертификаты», «Редактор атрибутов» и «Репликация паролей».Меню «Просмотр» позволяет фильтровать вид по типу объекта (пользователь, компьютер, принтер и т. Д.). Отдельные столбцы также могут быть добавлены или удалены, чтобы настроить представление для включения других атрибутов, которые были назначены объекту, таких как дата последнего изменения, город, страна и адрес электронной почты.
Помимо управления объектами, ADUC также может управлять операциями домена. Например, вы можете использовать ADUC для повышения функционального уровня домена или для передачи ролей RID, эмулятора PDC и инфраструктуры FSMO другому контроллеру домена.
Наконец, ADUC также позволяет делегировать управление объектами с помощью мастера делегирования управления или вручную изменяя разрешения для объекта.
Дополнительную информацию об основах Active Directory можно найти в нашем руководстве по AD для начинающих.
Установка пользователей и компьютеров Active Directory на ПК
На контроллере домена Active Directory будет предварительно установлен ADUC. Для управления удаленными серверами и компьютерами вы можете использовать Microsoft Remote Server Administration Tools (RSAT) для Windows .RSAT включает пользователей и компьютеры Active Directory и позволяет администраторам удаленно управлять серверами и рабочими столами Windows в своих AD с компьютера Windows.
Способ включения этой оснастки зависит от вашей версии Windows 10, как подробно описано ниже. Обратите внимание, что Средства удаленного администрирования сервера для Windows 10 можно установить только на компьютерах, на которых установлена полная версия Windows 10 Professional, Windows 10 Enterprise или Windows 10 Education.
После установки в Windows 10 функции RSAT будут доступны в разделе Администрирование меню Пуск.Вы также можете найти ADUC, нажав «Пуск» и набрав «активный каталог» или «пользователи и компьютеры».
Установка ADUC в Windows 10 версии 1809 или выше
Начиная с Windows 10 1809, RSAT доступен в функциях Windows. Чтобы включить эти функции, выполните следующие действия:
- Откройте Settings из меню «Пуск» (или нажмите Win-I на клавиатуре).
- Откройте подраздел Apps > Щелкните Управление дополнительными функциями вверху страницы> Щелкните Добавить компонент
- Установите флажок RSAT: доменные службы Active Directory и облегченные инструменты каталогов и щелкните Установить .
Установка ADUC в Windows 10 версии 1803 или ниже
- Откройте панель управления из меню «Пуск» (или нажав Win-X на клавиатуре).
- Перейдите к Программы > Программы и компоненты > Включите или выключите функции Windows .
- Перейти к Инструменты удаленного администрирования сервера > Инструменты администрирования ролей > Инструменты AD DS и AD LDS .
- Установите флажок AD DS Tools и нажмите ОК .
Установка ADUC с помощью командной строки
Кроме того, вы можете установить ADUC из командной строки следующим образом:
- Нажмите Пуск (или нажмите Win + R )> Введите « cmd »> Нажмите Введите .
- Выполните следующие команды:
dism / online / enable-feature / featurename: RSATClient-Roles-AD DISM / онлайн / включить-функцию / имя функции: RSATClient-Roles-AD-DS DISM / online / enable-feature / featurename: RSATClient-Roles-AD-DS-SnapIns
Установка ADUC в более старых версиях Windows
Если у вас более старая версия Windows, вы можете загрузить соответствующий пакет RSAT, а затем использовать Добавьте компоненты Windows в панель управления, чтобы добавить необходимые оснастки MMC.
Исправление ошибок RSAT в Windows 10
RSAT может дать сбой в Windows 10 по нескольким причинам, включая неудачное обновление, поврежденный установочный файл или несовместимость операционной системы. Кроме того, проблемы могут возникнуть, если администратор сервера попытается изменить какой-либо из своих инструментов администрирования (ADAC, ADCS или IPMA). Наиболее частой причиной сбоев является компонент центра администрирования Active Directory (ADAC) RSAT.
Выполните следующие действия для устранения ошибок:
- Проверьте совместимость RSAT.Существуют разные версии RSAT для разных версий операционной системы; убедитесь, что ваша версия RSAT совместима. В некоторых случаях полное удаление предыдущей версии и установка новой совместимой версии решает проблемы сбоя.
- Если вы получаете ошибку установки RSAT 0x800f0954:
- Щелкните правой кнопкой мыши кнопку Start > выберите Run > введите msc > щелкните OK .
- В редакторе локальной групповой политики перейдите к Конфигурация компьютера > Административные шаблоны > Система .
- Щелкните правой кнопкой мыши «Укажите параметры для установки дополнительных компонентов и восстановления компонентов». Политика > Установите значение Включено > Установите флажок « Загрузить содержимое для восстановления и дополнительные функции непосредственно из Центра обновления Windows вместо служб обновлений Windows Server (WSUS). ) “.
- Щелкните Применить > Щелкните ОК .
- Щелкните правой кнопкой мыши кнопку Start > выберите Run > введите gpupdate > щелкните OK .
- Ошибка установки RSAT 0x80070003 обычно связана с установкой из необычного места. Скопируйте установочные файлы на локальный диск целевой машины и продолжайте.
.
Руководство по устранению неполадок доменных служб Active Directory (AD DS) и карта содержимого — статьи TechNet — США (английский)
На этой странице классифицируется информация об устранении неполадок Active Directory, которая распространяется по всему Интернету, поэтому вы можете получить доступ к ресурсу, необходимому для решения вашей конкретной проблемы.
Если вы не совсем уверены, с чего начать, возможно, вы захотите ознакомиться с этими обзорами, блок-схемами и общими ресурсами стратегии устранения неполадок Active Directory:
Следующие темы содержат информацию, которая поможет вам собрать больше информации о проблемах, с которыми вы столкнулись:
Полезные утилиты
- DCdiag — особенно общая диагностика контроллера домена
dcdiag / fix на контроллере домена - Netdiag — общая диагностика сети, особенно полезен netdiag
/ fix для Windows Server 2003 R2 и более ранних реализаций - Netdom — используется для сброса безопасных каналов компьютеров-членов домена и настройки доверительных отношений
- ADSIEdit — используется для просмотра структуры Active Directory с точки зрения LDAP
- LDP — браузер LDAP, который можно использовать для просмотра, поиска и изменения настроек безопасности объектов Active Directory
- Insight for Active Directory — перехватывает и отображает вызовы LDAP и ADSI, чтобы показать вам, что происходит при доступе к Active Directory из
система, в которой он установлен. - ACLDiag — показывает разрешения, установленные для объектов Active Directory
- SDCheck — Средство проверки дескриптора безопасности используется для запроса информации дескриптора безопасности для объектов Active Directory
- DSAStat — используется для сравнения наборов реплик Active Directory
- NTFRSUtil — используется для мониторинга и диагностики проблем с системой репликации файлов NT, используемой для репликации Active Directory с помощью
по умолчанию в Windows Server 2003 R2 и ранее. Запуск в Windows Server 2008 Репликация файловой службы каталогов
(DFSR) был включен по умолчанию в новых лесах - Repadmin — используется для мониторинга и устранения неполадок репликации Active Directory
- Replmon — графический инструмент устранения неполадок репликации для Windows Server 2003 R2 и более ранних версий — не рекомендуется запускать в Windows
Server 2008 - Утилиты Codeplex Active Directory — на этом сайте доступно множество инструментов для Active Directory
- Полезное
Microsoft Active Directory Tools — еще один сайт ad-active-directory-tools.com, посвященный обсуждению инструментов Active Directory. - Инструмент состояния репликации Active Directory — инструмент с графическим пользовательским интерфейсом, выпущенный 7/2012, для анализа и проверки статуса репликации.
События Active Directory
Начиная с Windows Server 2008, наиболее часто встречающиеся сообщения средства просмотра событий предназначены для получения дополнительной информации. В библиотеке TechNet есть две большие коллекции, которые мы планируем перенести в TechNet Wiki, чтобы большая группа
людей могут помочь в их оформлении.
Есть также люди, работающие над подобным делом на
EventID.Net, где вы можете найти дополнительную информацию, указав источник и идентификатор события. Аналогичный механизм существует в TechNet.
Центр сообщений об ошибках и событиях. Эта вики-страница TechNet может однажды стать лучшим местом для поиска дополнительной информации о событиях и ошибках, поскольку несколько человек работают над их воплощением на этой платформе. Подробнее об этом в следующем разделе.
Источники событий
Цель этого раздела состоит в том, чтобы связать каждый из следующих источников событий, приведенных ниже, на страницы, которые обсуждают источник события и ссылаются на конкретные идентификаторы событий.На страницах идентификаторов событий будет представлена информация об устранении неполадок, связанных с конкретным событием. Мы
уже работают над этим, как вы можете видеть в
Идентификатор события 1311. Наша цель — предоставить на каждой странице информацию, которая понадобится людям для решения проблем, с которыми они сталкиваются. Многие люди уже вовлечены в эту работу и работают над ней. Тем не менее, мы можем использовать любую помощь, которую можем получить; если ты
склонны помочь — мы призываем вас сделать это.
Существует множество различных факторов, которые могут ограничивать масштабирование и производительность Active Directory.Вот статьи, в которых они обсуждаются:
Проблемы репликации Active Directory
Ресурсы, которые помогут вам устранить проблемы репликации Active Directory, включают:
Если используемая вами учетная запись пользователя действительно не имеет разрешений на выполнение действий в Active Directory, вы, скорее всего, получите сообщение «Доступ запрещен». Чтобы узнать, используете ли вы учетную запись с соответствующими привилегиями, см. Привилегии. Чтобы узнать больше о
разрешения и конкретные разрешения, необходимые для выполнения определенных задач, см.
Рекомендации по делегированию разрешений Active Directory: приложения.
Вам также может потребоваться имя участника-службы (SPN) для вашей службы в Active Directory. Чтобы узнать больше о
устранение неполадок с именами SPN, взгляните на имена участников службы (SPN).
Иногда причина сообщения об отказе в доступе может быть связана с чем-то, что не сразу очевидно. Например, возможно, что компьютер был настроен на
Немедленно выключите систему, если не удалось зарегистрировать события безопасности. или было установлено значение реестра CrashOnAuditFail.Возможно, вам придется войти в систему в интерактивном режиме или напрямую в консоль (сеанс 0). Для получения дополнительной информации см.
В службах отказано и компьютер не отвечает, когда журнал событий безопасности заполнен ». Дополнительные сведения о сеансе 0 см.
Запланированные задачи выполняются в контексте сеанса 0 с помощью служб терминалов и
Как подключиться к сеансу консоли и скрыть его с помощью служб терминалов Windows Server 2003 и
Совместимость приложений Сеанс 0 Изоляция.
Блоги с информацией об устранении неполадок
.
Active Directory: как получить историю входов пользователей с помощью PowerShell — Статьи TechNet — США (английский)
Microsoft Active Directory хранит данные истории входа пользователей в журналы событий на контроллерах домена. Начиная с Windows Server 2008 и до Windows Server 2016, идентификатор события для входа пользователя в систему — 4624. Эти события содержат данные о пользователе, время,
компьютер и тип входа пользователя. Используя сценарий PowerShell, представленный выше, вы можете получить отчет об истории входа пользователя в систему, не просматривая журналы событий вручную.
Откройте PowerShell ISE → Запустите следующий скрипт, изменив временные рамки:
# Найти список контроллеров домена в Active Directory
$ DCs = Get-ADDomainController -Filter *
# Определить время для отчета (по умолчанию 1 день)
$ startDate = (дата получения) .AddDays (-1)
# Сохранять успешные события входа в систему из журналов безопасности с указанными датами и рабочей станцией / IP в массиве
foreach ($ DC в $ DC) {
$ slogonevents = Get-Eventlog -LogName Security -ComputerName $ DC.Имя хоста -after $ startDate | где {$ _. eventID -eq 4624}}
# Ползать по событиям; распечатать всю историю входа в систему с указанием типа, даты / времени, статуса, имени учетной записи, компьютера и IP-адреса, если пользователь вошел в систему удаленно
foreach ($ e в $ slogonevents) {
# Успешные события входа в систему
# Локальный (тип входа 2)
если (($ e.EventID -eq 4624) -and ($ e.ReplacementStrings [8] -eq 2)) {
write-host "Тип: Local Logon`tDate:" $ e.TimeGenerated "` tStatus: Success`tUser: "$ e.ReplacementStrings [5]" `tWorkstation:" $ e.ReplacementStrings [11]
}
# Удаленный (тип входа 10)
if (($ e.EventID -eq 4624) -and ($ e.ReplacementStrings [8] -eq 10)) {
write-host "Тип: Remote Logon`tDate:" $ e.TimeGenerated "` tStatus: Success`tUser: "$ e.ReplacementStrings [5]" `tWorkstation:" $ e.ReplacementStrings [11]
"` tIP Address: "$ e.ReplacementStrings [18]
}}
Первоначально опубликовано — https://www.netwrix.com/how_to_get_user_login_history.html
.