Настройка контроллера домена (Active Directory)

Эта статья написана достаточно давно Николаем Кутявиным и перенесена с нашего предыдущего хостинга с некоторыми потерями, поэтому краткая и не очень полная. Сейчас я пишу статьи про каждую из FSMO-ролей отдельно – например, про RID Master. Они более наполнены информацией и актуализированы, чем эта – имеет смысл зайти к нам в раздел Knowledge Base и посмотреть их там.
Ruslan V. Karmanov.

Что такое контроллер домена (КД) и зачем он нужен

Домен — базовая единица в ИТ-инфраструктуре. В него входят пользователи, компьютеры, серверы, и другие объекты. Информация о домене хранится на специальном выделенном сервере, под управлением операционной системы Windows Server, называемой контроллером домена. По сути, сформирован единый эффективный инструмент, содержащий базу данных элементов сети, их настройки и права доступа. Он включает в себя также группировки отдельных элементов, взаимоотношения между устройствами и доменами. При развитии ИТ инфраструктуры организации возникает необходимость централизованного управления компьютерной сетью. Уже при количестве компьютеров более 5 удобнее использовать сеть с центром управления.

Ключевые возможности Active Directory

— Единая регистрация в сети. Позволяет настроить вход пользователя в рабочее пространство под своей учётной записью. Функционал аутентификации позволяет администрировать доступы пользователе ко всем ресурсам и информационным системам организации, настраивать интеграцию аутентификации c другими службами авторизации (использование единого доступа сотрудника, например, к компьютеру, к электронной почте, корпоративному порталу, 1С и т.д.).

— Безопасность информации. Централизованная настройка ролей и прав доступа группам или отдельным пользователям в рабочей сети, в зависимости от поставленной задачи.

Читайте также:  Установка и настройка GLPI и FusionInventory, инвентаризация ИТ инфраструктуры

— Лёгкий поиск. Поиск объектов осуществляется при помощи имени пользователя/компьютера или адреса электронной почты.

— Удобный интерфейс. Позволяет проектировать каталоги в виде древовидной структуры или задавать связь и права доступа между несколькими деревьями, обозначающими филиалы в разных зданиях или городах.

— Централизованное управление. Позволяют производить изменения сразу для всей рабочей сети, а не настраивать каждый объект отдельно. Отличное решение, если стоит задача, например, расширить (ограничить) права доступа к конкретному объекту сети или подключить отдельный сервер только для юридического отдела. Такие массовые изменения осуществляются при помощи групповых политик Active Directory.

Групповые политики Active Directory — отвечают за управление компьютерами, которые являются элементами домена, и позволяют максимально оперативно и централизованно настроить рабочее пространство пользователя и систему безопасности.

Возможности групповых политик Active Directory:

  • администрирование операционной системы;
  • настройка безопасности доступов к системному и прикладному программному обеспечению (установка разрешений, включение пользователей в группы);
  • установка, настройка и обновление, удаление программного обеспечения (одновременно на всех необходимых устройствах сети удаленно);
  • обслуживание компонентов операционных систем;
  • интеграция с другими сервисами и приложениями, которые работают по сети, используя функционал групповых политик;
  • настройка правил с зависимостью от местоположения пользователя;
  • выполнение скриптов и многое другое.

Архитектура хранилища и структура Active Directory

Домены и леса

Организационные единицы (OU — Organization Unit), домены и леса являются основными элементами логической структуры AD. Лес определяет единый каталог и обозначает границу безопасности. Домены входят в состав Лесов.

Архитектура хранилища и структура Active Directory

DNS

DNS применяется для разрешения имен в иерархической архитектуре, которую использует AD.

СХЕМА (SCHEMA)

Архитектура хранилища и структура Active Directory

Схема содержит определения объектов, которые используются для их создания, хранящихся в каталоге.

ХРАНИЛИЩЕ ДАННЫХ (DATA STORE)

Хранилище данных является частью каталога, который управляет хранением и извлечением данных на каждом контроллере домена.

Архитектура хранилища и структура Active Directory

Более подробно вы можете ознакомиться с материалами на официальном сайте.

Читайте также:  KMSAuto Net 2016 1.5.4 Portable - активатор Windows и Office

Смена пароля AD

Это руководство описывает процедуру изменения пароля для сервера со службой домена Active Directory

Для этого откройте «Пуск» -> «Администрирование» -> «Пользователи и компьютеры Active Directory»

В новом окне, откройте раздел c именем Вашего домена, на скриншоте это «» и нажмите на папку «Users»

Слева появится список пользователей, выберите одного из пользователей по имени и правой кнопкой мыши откройте пункт «Смена пароля…»

В окне смена пароля,

  1. Введите новый пароль (пароль должен быть не меньше 8 символов)   2. Установите галочку на пункте «Требовать смену пароля при следующем входе в систему» — если требуется.   3. Разблокировать учетную запись пользователя — если пользователь был заблокирован системой.

Нажмите «ОК»

Если все данные ввели правильно то появится окно об удачной смене пароля  

Готово

Теперь мы рассмотрим процедуру изменения срока пароля для сервера со службой домена Active Directory

AppLocker

AppLocker — технология, которая позволяет системному администратору блокировать выполнение определенных исполняемых файлов на компьютерах в сети. То есть можно создать правила, по которым будет выдаваться разрешение на выполнение или отказ. Например, можно проверять уникальные идентификаторы файлов и разрешать запуск только определенным пользователям или группам.

Обычно конфигурация AppLocker применяется через объект групповой политики. В таком случае легко извлечь конфигурацию из SYSVOL, если у нас есть доступ на чтение к общему ресурсу. Как просмотреть объекты групповой политики и к каким машинам они применяются, смотри в разделе LAPS. Отличается только путь:

Software\Policies\Microsoft\Windows\SrpV2\%ext%\xxxxxxxx-xxx-xxx-xxx-xxxxxxxxxxxxПример разрешающего правила AppLocker

Есть три способа применения запрещающего правила: Publisher, Path и File Hash.

Читайте также:  Canon 1133 и 1133A - печать и сканирование по сети

Пример запрещающего правила AppLocker

На месте %ext% используй ключи: Appx, Exe, Dll, Msi, Script.