Создание сервера Active Directory в Windows Server 2003

В этой статье описывается установка и настройка новой установки Active Directory в лабораторной среде, которая включает Windows Server 2003 и Active Directory.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 324753

Для этой цели в лабораторной среде потребуется два сетевых сервера под управлением Windows Server 2003.

Создание Active Directory

После установки Windows Server 2003 на отдельном сервере запустите мастер Active Directory, чтобы создать новый лес или домен Active Directory, а затем преобразуйте компьютер с Windows Server 2003 в первый контроллер домена в лесу. Чтобы преобразовать компьютер с Windows Server 2003 в первый контроллер домена в лесу, выполните следующие действия.

Вставьте компакт-диск Windows Server 2003 в компакт-диск компьютера или DVD-диск.

Нажмите кнопку«Начните», щелкните «Выполнить» и введите dcpromo.

Нажмите кнопку «ОК», чтобы запустить мастер установки Active Directory, а затем нажмите кнопку «Далее».

Щелкните контроллер домена для нового домена и нажмите кнопку «Далее».

Щелкните «Домен» в новом лесу, а затем нажмите кнопку «Далее».

Укажите полное DNS-имя для нового домена. Обратите внимание, что поскольку эта процедура используется для лабораторной среды и вы не интегрируетсяе эту среду в существующую инфраструктуру DNS, для этого параметра можно использовать что-то общее, например mycompany.local. Нажмите кнопку Далее.

Примите netBIOS-имя домена по умолчанию (это mycompany, если вы использовали предложение на шаге 6). Нажмите кнопку Далее.

Установите для базы данных и файла журнала значение по умолчанию для папки c: \ winnt \ ntds и нажмите кнопку «Далее».

Установите для папки Sysvol значение по умолчанию для папки c: winnt sysvol и нажмите кнопку \ \ «Далее».

Нажмите кнопку «Установить» и настройте DNS-сервер на этом компьютере, а затем нажмите кнопку «Далее».

Щелкните «Разрешения», совместимые только с серверами Windows 2000 или Windows Server 2003 или операционными системами, а затем нажмите кнопку «Далее».

Так как это лабораторная среда, оставьте пароль администратора режима восстановления служб каталогов пустым. Обратите внимание, что в полной производственной среде этот пароль устанавливается в безопасном формате пароля. Нажмите кнопку Далее.

Просмотрите и подтвердите выбранные параметры и нажмите кнопку «Далее».

Установка Active Directory продолжается. Обратите внимание, что эта операция может занять несколько минут.

После запроса перезапустите компьютер. После перезагрузки компьютера подтвердите, что для нового контроллера домена созданы записи о расположении службы DNS. Чтобы подтвердить, что записи о расположении службы DNS созданы, выполните следующие действия.

1. Нажмите кнопку«Начните», выберите пункт «Администрирование», а затем щелкните DNS, чтобы запустить консоль администратора DNS.
2. Расширьте имя сервера, расширьте зоны forward Lookup (Зоны переадритет просмотр) и затем расширьте домен.
3. Убедитесь, что _msdcs, _sites, _tcp и _udp есть папки. Эти папки и содержащиеся в них записи о расположении служб критически важны для операций Active Directory и Windows Server 2003.

Добавление пользователей и компьютеров в домен Active Directory

После создания нового домена Active Directory создайте учетную запись пользователя в этом домене для использования в качестве административной учетной записи. При добавлении этого пользователя в соответствующие группы безопасности используйте эту учетную запись для добавления компьютеров в домен.

Чтобы создать нового пользователя, выполните следующие действия:

Нажмите кнопку«Начните», найдите пункт «Администрирование», а затем выберите «Пользователи и компьютеры Active Directory», чтобы запустить консоль «Пользователи и компьютеры Active Directory».

Щелкните созданное доменное имя, а затем разойдите содержимое.

Щелкните правой кнопкой мыши «Пользователи», найдите пункт «Новый» и выберите «Пользователь».

Введите имя, фамилию и имя пользователя для нового пользователя и нажмите кнопку «Далее».

Введите новый пароль, подтвердите пароль и нажмите, чтобы выбрать один из следующих флажков:

• Пользователи должны изменить пароль при следующем учете (рекомендуется для большинства пользователей)
• Пользователь не может изменить пароль
• Срок действия пароля не истекает
• Учетная запись отключена

Нажмите кнопку Далее.

Просмотрите предоставленные сведения и, если все правильно, нажмите кнопку «Готово».

После создания нового пользователя придайте этой учетной записи членство в группе, которая позволяет этому пользователю выполнять административные задачи. Так как вы управляете этой лабораторной средой, вы можете предоставить этой учетной записи пользователя полный административный доступ, сделав ее участником групп администраторов схемы, предприятия и домена. Чтобы добавить учетную запись в группы администраторов схемы, предприятия и домена, выполните следующие действия.

1. В консоли «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши созданную учетную запись и выберите «Свойства».
2. Щелкните вкладку «Член» и нажмите кнопку «Добавить».
3. В диалоговом окне «Выбор групп» укажите группу и нажмите кнопку «ОК», чтобы добавить нужные группы в список.
4. Повторите процесс выбора для каждой группы, в которой пользователю требуется членство в учетной записи.
5. Для завершения нажмите кнопку ОК.

Последний этап этого процесса — добавление рядового сервера в домен. Этот процесс также применим к рабочим станциям. Чтобы добавить компьютер в домен, выполните следующие действия.

Войдите на компьютер, который нужно добавить в домен.

Щелкните правой кнопкой мыши«Мой компьютер» и выберите «Свойства».

Перейдите на вкладку «Имя компьютера» и нажмите кнопку «Изменить».

В диалоговом окне «Изменение имени компьютера» щелкните «Домен» в поле «Член» и введите имя домена. Нажмите кнопку ОК.

При запросе введите имя пользователя и пароль ранее созданной учетной записи, а затем нажмите кнопку «ОК».

Создается сообщение с приветствием к домену.

Нажмите кнопку «ОК», чтобы вернуться на вкладку «Имя компьютера», а затем нажмите кнопку «ОК», чтобы завершить работу.

Перезапустите компьютер, если вам будет предложено это сделать.

Устранение неполадок: невозможно открыть оснастку Active Directory

После завершения установки Active Directory, возможно, не удастся запустить оснастку «Пользователи и компьютеры Active Directory», а также может появиться сообщение об ошибке, в которое указывается, что с проверкой подлинности нельзя связаться ни с одним органом. Это может произойти, если DNS настроена неправильно. Чтобы устранить эту проблему, убедитесь, что зоны на DNS-сервере настроены правильно и что ваш DNS-сервер обладает полномочиями для зоны, которая содержит доменное имя Active Directory. Если зоны кажутся правильными и у сервера есть полномочия для домена, попробуйте снова запустить оснастку «Пользователи и компьютеры Active Directory». Если вы получили такое же сообщение об ошибке, удалите Active Directory, перезагрузите компьютер и переустановите Active Directory с помощью этой с помощью с помощью этой с помощью.

Дополнительные сведения о настройке DNS в Windows Server 2003 см. в сведениях о настройке DNS для доступа к Интернету в Windows Server 2003.

Установка и внедрение Active Directory в Windows Server 2003

Windows Server 2003 | Разместил: Cesar, 2012-07-15 | 13788 0

Установить Active Directory непросто — вам понадобится настроить не только компьютер, выступающий в качестве контроллера домена, но и все компьютеры в локальной сети, которые будут входить в новый домен. Контроллер домена должен работать под управлением Windows Server 2003 и выше; для его настройки используется специальный мастер.
Перед внедрением Active Directory следует разработать структуру будущего домена таким образом, чтобы его обслуживание было эффективным и практически не требующим участия системных администраторов. Несмотря на то, что установка Active Directory занимает много времени, для ее настройки и оптимизации потребуются определенные силы. Учетные записи пользователей, группы, групповые политики, шаблоны, сайты, репликация данных — это лишь малая часть работы, которую придется провести для настройки домена.
Чтобы настроить сервер для работы в качестве контроллера домена, выполните команду Пуск -> Администрирование -> Управление данным сервером

В открывшемся окне выберите Добавить или удалить роль. Откроется окно Мастер настройки сервера.

В окне Мастер настройки сервера выберите команду Контроллер домена (Active Directory) и щелкните на кнопке Далее, после чего будет запущена программа Мастер установки Active Directory. Щелкните на кнопке Далее. В следующем окне мастера вы увидите предупреждение о том, что компьютеры под управлением старых версий Windows и Windows NT не смогут быть зарегистрированы в домене с контроллерами домена Windows Server 2003 и выше, и соответственно, и не получат доступа к ресурсам домена. Щелкните на кнопке Далее.

В новом окне следует выбрать чип контроллера домена. Доступны два варианта: контроллер домена в новом домене или добавочный контроллер и уже существующем. Поскольку домена Active Directory еще не существует, оставьте без изменений переключатель Контроллер домена в новом домене и щелкните на кнопке Далее. В очередном окне выберите тип домена. Для каждого из трех типов предоставлено подробное описание его использования. В данном случае следует выбрать вариант Новый домен в новом лесу.

В следующем окне введите полное DNS-имя для нового домена, например active.server.com. Щелкните на кнопке Далее. Введите в новом окне имя домена (в формате NetBIOS), которое будет использоваться клиентами старых версий Windows. В следующем окне требуется указать локальную папку Windows для файлов базы данных Active Directory, а также папку расположения системного журнала домена. Но умолчанию для базы данных и журнала используется одна и та же папка. Щелкните на кнопке Далее.

В следующем окне укажите расположение папки SYSVOL, содержащей серверную копию общих файлов домена. Содержимое этой папки будет обновляться методом репликации на всех контроллерах домена.

В новом окне следует выбрать гид разрешения для доступа к объектам Active Directory. Будут доступны два переключателя — выбрать необходимое, после щелкните на кнопке Далее. В последнем окне мастера будет отображена общая информация о выбранных параметрах. Щелкните на кнопке ОК, после чего сервер станет полноценным контроллером домена Active Directory.

Работа с Active Directory c использованием командлетов Powershell на серверах под управлением Windows 2003/2008

VBScript несколько надоел, решил попробовать что-нибудь новенькое. Выбора большого конечно нет, поэтому заинтересовался управлением объектами AD c помощью командлетов Powershell. Начал ковырять и понял, что по-умолчанию, без установки дополнительных модулей это невозможно. Речь идет про сервера под управлением Windows 2003-2008. В Windows 2008 R2 все намного проще, т.к. все необходимое там уже имеется и неоднократно расписано.

Серверов на Win2008 R2 у меня пока еще нет (видимо не дорос =))) поэтому буду рассматривать на примере Win2003 R2 SP2. (для Win2008 отличия не большие).

Использование командлетов ADPowershell возможно только на платформах Windows 7 и Windows 2008 r2. Т.к. в наличии есть только семерка, то работать будем с нее.

Итак начнем, подготавливать контроллер домена. Ставим Windows Management Framework Core (WinRM 2.0 and Windows PowerShell 2.0) — Скачать можно тут.

Далее необходимо установить службу шлюза управления Active Directory (веб-служба Active Directory для Windows Server 2003 и Windows Server 2008) или сокращенно ADWS. Скачать можно здесь

Обратите внимание, что для устаноки ADWS обязательно должны быть установлены: Службы AD, .NET Framework 3.5 с пакетом обновления 1 (SP1), и обновление KB969429 для Windows 2003 (можете скачать с сайта Microsoft) или обновление KB967574 для Windows 2008 без обновления SP2 (для 2008 sp2 это обновление не требуется). В случае успешной установки перезагружаемся. На этом настройка контроллера заканчивается.

Переходим к 7-ке.

Устанавливаем Remote Server Administration Tools (RSAT), кстати утилиты не помешают и при решении других задач. Скачать можно здесь.

После установки идем в Пуск-Панель управления — Программы и компоненты — Включение и отключение компонентов Windows — Средства удаленного администрирования — Средства администрирования ролей — Средства доменных служб . и включаем модуль Active Directory для Powershell

Теперь запускаем сам Powershell, это можно сделать двумя способами:

1. Идем в Администрирование и запускаем — Модуль Active Directory для Windows PowerShell

2. В текущей сессии Powershell выполняем —
Import-Module ActiveDirectory

Если при настройке контроллера вы не накосячили, то увидите процесс подключения и приглашение командной строки.

А если накосячили, то получите ошибку —

Проверить подключение можно командлетом — Get-PsDrive

Первая строка показвает, что подключение произведено.

Также подключит диск (диск — это подключение) глобального каталога можно выполнив команду —
New-PSDrive -PSProvider ActiveDirectory -Name GC -Root «» -Server «domain.com:389»
И напоследок небольшой плакатик от MS по командлетам ADPowershell (кликабельно) —

В следущей части статьи рассмотрим некоторые примеры.