Контроллер домена Active Directory: плюсы и настройка

Основным элементом эффективной корпоративной сети является контроллер домена Active Directory, управляющий многими службами и дающий многие преимущества.

Active Directory описание

Active Directory — это хранилище данных об объектах сети, имеющее иерархическую структуру. AD содержит централизованный список всех пользователей и групп в сети, называемый domain. Это значительно облегчает работу администратором, так как при регистрации учетной записи нового пользователя эти данные передаются сразу всем серверам, находящимся в домене. Каждый домен имеет уникальное DNS-имя, а их совокупность называют лесом. Узнать подробнее о возможностях AD можно по ссылке.

Отдельное внимание обратим на схемы Active Directory. В них хранятся определения для каждого класса объектов и атрибуты. То есть конфигурационная информация, которая управляет структурой и содержимым каталога. В роли хозяина схемы выступает контроллер домена. Из всего леса выбирается только один domain controller, который будет обладать полномочиями, позволяющими изменять схемы (например, добавлять атрибуты, свойства).

Он должен быть хорошо защищен, так как если к нему получит доступ посторонний, то под угрозой будет не только оборудование компании и учетные записи пользователей, но и инсайдерская информация. В случае выхода его из строя AD продолжит нормально функционировать, однако изменять схемы вы не сможете, поэтому рекомендуется разворачивать дополнительно один и более контроллеров домена.

Когда внедрять контроллер домена Active Directory в корпоративную сеть?

Мы рекомендуем задуматься о том, чтобы настроить контроллер домена для вашей компании уже при подключении в сеть более 10 компьютеров, так как гораздо легче задать необходимые политики для 10 машин, чем для 50. Кроме того, так как этот сервер не выполняет особо ресурсоемких задач, на эту роль вполне может подойти мощный настольный компьютер.

Однако важно помнить, что на этом сервере будут храниться пароли доступа к сетевым ресурсам и база данных пользователей домена, схема прав и групповых политик пользователей. Необходимо развернуть резервный сервер с постоянным копированием данных для обеспечения непрерывности работы контроллера домена, а это сделать гораздо быстрее, проще и надежнее используя серверную виртуализацию, предоставляемую при размещении корпоративной сети в облаке. Это позволяет избежать следующих проблем:

  • Ошибочные настройки DNS-сервера, что приводит к ошибкам локации ресурсов в корпоративной сети и в сети Интернет
  • Некорректно настроенные группы безопасности, приводящие к ошибкам прав доступа пользователей к сетевым ресурсам
  • Некорректные версии ОС. Каждая версия Active Directory поддерживает определенные версии десктопных ОС Windows для тонких клиентов
  • Отсутствие или неправильная настройка автоматического копирования данных на резервный контроллер домена.

Чтобы использовать ресурсы вашей корпоративной сети максимально эффективно, безопасно и с наименьшими затратами средств и усилий, выбирайте только профессиональных поставщиков ИТ-услуг!

Перенос пользователей Active Directory

По определённым причинам появилась необходимость в переносе пользователей из одного домена в другой. Это возможно сделать штатными средствами операционной системы Microsoft. И в этом нам поможет утилита . Она предназначена для экспорта/импорта пользователей Active Directory в файл с расширением .ldf. При необходимости его можно редактировать любым текстовым редактором (как в моём случае). Но программа переносит только пользователей, без групп и паролей. Пароли будут сброшены на пустые и при следующем входе в систему будет предложено сменить пароль.

На контроллере домена запускаем командную строку CMD и для удобства переходим в корень диска С c:, так как при выполнении команды вся информация будет выгружена в файл .

ldifde -u -f C: -s SRVDC1 -d «dc=DOMAIN,dc=NAME» -p subtree -r «(&(objectCategory=person)(objectClass=User)(givenname=*))» -l «cn,sn,description,givenName,initials,displayName,name,objectclass,profilePath,homeDirectory,homeDrive,samAccountName,mail»Вывод выполнения команды

Где SRVDC1 — это имя контроллера домена, а dc=DOMAIN,dc=NAME — это текущее доменное имя вашего контроллера. На выходе мы получаем файл в корне диска С.

Так как доменное имя нового домена отличается от текущего, то в файле необходимо заменить все строчки dc=DOMAIN,dc=NAME на необходимые, с указанием нового имени. Сохраняемся, перекидываем файл на новый сервер и выполняем импорт следующей командой

ldifde -i -f C: -s NEWSRVDC1

Где NEWSRVDC1 — это имя нового контроллера домена.

Установка модуля Active Directory для Windows PowerShell (RSAT-AD-PowerShell) на Windows Server | — IT-блог для начинающих

Сегодня мы научимся устанавливать средства удаленного администрирования сервера на примере модуля Active Directory для Windows PowerShell, все это мы будем делать в операционной системе Windows Server 2016.

Что такое RSAT?

RSAT или Remote Server Administration Tools – это средства удаленного администрирования сервера, которые предназначены для управления ролями и компонентами сервера. В состав RSAT входят и необходимые оснастки управления, и утилиты командной строки и модули Windows PowerShell. Вы можете установить все это сразу, а можете только то, что Вам нужно.

Читайте также:  Администрация вашей сети применил групповую политику

Если Вы хотите установить средства удаленного администрирования сервера на клиентскую операционную систему, то Вам предварительно необходимо скачать их с официального сайта Microsoft.

В серверных операционных систем они поставляются в виде компонента, и сегодня мы научимся устанавливать RSAT в Windows Server 2016.

Установка модуля Active Directory для Windows PowerShell

По умолчанию в системе установлены не все модули Windows PowerShell, некоторые из них добавляются во время установки соответствующей роли или компонента. Например, если Ваш сервер не является контроллером домена, соответствующего модуля PowerShell (RSAT-AD-PowerShell) для администрирования Active Directory в нем нет, т.е.

использовать командлеты PowerShell для управления AD Вы не сможете. Однако Вы можете установить модуль PowerShell для работы с Active Directory. Именно это мы сейчас и рассмотрим, при этом я покажу два варианта установки модуля RSAT-AD-PowerShell — это с помощью «Мастера добавления ролей и компонентов», т.е.

используя графический интерфейс и, конечно же, с помощью Windows PowerShell.

Процесс установки модуля Active Directory для Windows PowerShell такой же, как и установка остальных компонентов и средств удаленного администрирования в Windows Server 2016, поэтому если Вы умеете устанавливать роли или компоненты сервера, то с установкой RSAT-AD-PowerShell Вы легко справитесь.

Шаг 1

Запускаем «Диспетчер серверов» и нажимаем «Управление ->Добавить роли или компоненты».

Шаг 2

На первом окне можем сразу нажать «Далее».

Шаг 3

Далее выбираем тип установки, мы хотим установить компонент, поэтому выбираем первый пункт «Установка ролей или компонентов», жмем «Далее».

Шаг 4

Затем выбираем сервер, на который будут установлены роли и компоненты, жмем «Далее».

Установка модуля Active Directory для Windows PowerShell (RSAT-AD-PowerShell) на Windows Server | — IT-блог для начинающих

Шаг 5

На этом шаге нам предлагают выбрать роли для установки, а так как мы не собираемся устанавливать роли, сразу жмем «Далее».

Шаг 6

На шаге выбора компонентов мы ищем пункт «Средства удаленного администрирования сервера -> Средства администрирования ролей -> Средства AD DS и AD LDS -> Модуль Active Directory для Windows PowerShell» и отмечаем его галочкой, жмем «Далее».

Шаг 7

Проверяем выбор компонентов и жмем «Установить».

Начнется процесс установки модуля Active Directory для Windows PowerShell.

Он будет завершен, когда мы увидим сообщение «Установка выполнена на …», нажимаем «Закрыть».

Установка модуля RSAT-AD-PowerShell с помощью PowerShell

Если Вы не хотите щелкать мышкой по окошкам мастера, то Вы можете легко выполнить процедуру установки компонентов с помощью нашего любимого Windows PowerShell, кстати, таким способом это делается, на мой взгляд, гораздо проще и быстрей.

Читайте также:  Как добавить папку в список приложений Windows 10

Для установки модуля Active Directory для Windows PowerShell запустите оболочку PowerShell и выполните следующие команды (вместо командлета Add-WindowsFeature можно использовать Install-WindowsFeature). Import-Module ServerManager Add-WindowsFeature -Name «RSAT-AD-PowerShell» –IncludeAllSubFeature

Смотрим список командлетов PowerShell для работы с Active Directory

Для того чтобы проверить, что у нас установился необходимый модуль PowerShell давайте, выполним команды, которые покажут нам количество командлетов для работы с Active Directory и сам список этих командлетов.

Чтобы узнать, сколько у нас командлетов для администрирования Active Directory пишем вот такую команду Get-Command -Module ActiveDirectory | Measure-Object

А для того чтобы посмотреть полный перечень командлетов пишем следующую команду, т.е. результат работы Get-Command мы не передаем по конвейеру командлету Measure-Object. Get-Command -Module ActiveDirectory

Мы видим, что нас появилось 147 командлетов для работы с Active Directory, которые мы теперь можем использовать для администрирования AD.

На этом все, надеюсь, материал был Вам полезен, удачи!

Изменение режима работы домена windows

Как мы уже указывали ранее, домены Windows 2000 могут работать в одном из двух режимов:

Смешанный режим (mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000.

Основной режим (native mode) предполагает, что все контроллеры домена работают в операционной системе Windows 2000 Server, при этом все клиентские компьютеры должны иметь поддержку (установленный на них клиент) Active Directory (это касается систем Windows 9x и Windows NT 4.0). В этом режиме можно применять такие новые средства, как универсальные группы, вложенные группы и т. д.

По умолчанию домен Windows 2000 начинает работать в смешанном режиме. При необходимости режим работы домена можно изменить на основной. Однако обратный переход невозможен.

Для перехода к основному режиму необходимо:

Указать домен, режим которого необходимо изменить, и нажать правую кнопку мыши. В открывшемся окне диалога выбрать команду Свойства.

На вкладке Общие (General) окна свойств домена нажать кнопку Сменить режим (Change Mode). После изменения режима перезапустите контроллер домена