Установка оснастки Active Directory в Windows 10

Одной из наиболее часто используемых консолей управления объектами в домене Active Directory – MMC оснастка Active Directory Users and Computers (или ADUC). Чтобы пользоваться этой оснастку с клиентского компьютера с Windows 10, необходимо установить компонент Microsoft Remote Server Administration Tools (RSAT). RSAT представляет собой набор различных инструментов и утилит для управления серверами Windows Servers, доменом Active Directory и другими ролями и функциями Windows.

Скачать RSAT для Windows 10

По умолчанию комплект RSAT в Windows 10 не установлен. Скачать последнюю версию Remote Server Administration Tools для Windows 10 (версия 1.2 от 6.27.2016) можно по ссылке: https://www.microsoft.com/en-us/download/details.aspx?id=45520

Выберите язык своей Windows 10 и нажмите кнопку Download button. В зависимости от разрядности вашей системы, вам нужно скачать один из файлов:

• Для Windows 10 x86 – файл WindowsTH-RSAT_TP5_Update-x86.msu (68.5 Мб)
• Для Windows 10 x64 – файл WindowsTH-RSAT_TP5_Update-x64.msu (91.0 Мб)

Установка RSAT в Windows 10

Установите скачанный файл, дважды щелкнув по нему Или установите msu файл RSAT из командной строки в «тихом» режиме:

wusa.exe c:\Install\WindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart

После окончания установки RSAT нужно перезагрузить компьютер.

Осталось активировать необходимый функционал RSAT. Для этого:

1. Щелкните ПКМ по кнопке Start и выберите ControlPanel (Панель управления)
2. Выберите Programs and Features (Программы и компоненты)
3. В левой панели нажмите кнопку Turn Windows features on or off
4. В дереве компонентов разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
5. Отметьте раздел ADDSTools и нажмите OK.

Установка оснастки ADUC также может быть выполнена из командой строки. Последовательно выполните 3 команды:

dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

После установки оснасток управления, в разделе Administrative Tools панели управления появится ссылка на консоль Active Directory Users and Computers.

Теперь можно запустить оснастку ADUC и подключится к любому контроллеру домена. Если данный компьютер состоит в домене Active Directory, консоль подключится к контролеру домена, на основании текущего Logon сервера.

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:

1. Запустите командную строку и выполните команду запуска остастки от имени другого пользователя: runas /netonly /user:winitpro\aaivanov mmc
2. В пустой консоли MMC выберите File->Add/Remove Snap-In
3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите
4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.

В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Установка оснастки Active Directory в Windows 10

Одной из наиболее часто используемых консолей управления объектами в домене Active Directory – MMC оснастка Active Directory Users and Computers (или ADUC). Чтобы пользоваться этой оснастку с клиентского компьютера с Windows 10, необходимо установить компонент Microsoft Remote Server Administration Tools (RSAT). RSAT представляет собой набор различных инструментов и утилит для управления серверами Windows Servers, доменом Active Directory и другими ролями и функциями Windows.

Скачать RSAT для Windows 10

По умолчанию комплект RSAT в Windows 10 не установлен. Скачать последнюю версию Remote Server Administration Tools для Windows 10 (версия 1.2 от 6.27.2016) можно по ссылке: https://www.microsoft.com/en-us/download/details.aspx?id=45520

Выберите язык своей Windows 10 и нажмите кнопку Download button. В зависимости от разрядности вашей системы, вам нужно скачать один из файлов:

• Для Windows 10 x86 – файл WindowsTH-RSAT_TP5_Update-x86.msu (68.5 Мб)
• Для Windows 10 x64 – файл WindowsTH-RSAT_TP5_Update-x64.msu (91.0 Мб)

Установка RSAT в Windows 10

Установите скачанный файл, дважды щелкнув по нему Или установите msu файл RSAT из командной строки в «тихом» режиме:

wusa.exe c:InstallWindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart

После окончания установки RSAT нужно перезагрузить компьютер.

Осталось активировать необходимый функционал RSAT. Для этого:

1. Щелкните ПКМ по кнопке Start и выберите ControlPanel (Панель управления)
2. Выберите Programs and Features (Программы и компоненты)
3. В левой панели нажмите кнопку Turn Windows features on or off
4. В дереве компонентов разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
5. Отметьте раздел ADDSTools и нажмите OK.

Установка оснастки ADUC также может быть выполнена из командой строки. Последовательно выполните 3 команды:

dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

После установки оснасток управления, в разделе Administrative Tools панели управления появится ссылка на консоль Active Directory Users and Computers.

Теперь можно запустить оснастку ADUC и подключится к любому контроллеру домена. Если данный компьютер состоит в домене Active Directory, консоль подключится к контролеру домена, на основании текущего Logon сервера.

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:

1. Запустите командную строку и выполните команду запуска остастки от имени другого пользователя: runas /netonly /user:winitproaaivanov mmc
2. В пустой консоли MMC выберите File->Add/Remove Snap-In
3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите
4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.

В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.

Active Directory Users and Computers (ADUC): Installation and Uses

Inside Out Security Blog » Active Directory » Active Directory Users and Computers (ADUC): Installation and Uses

Active Directory Users and Computers (ADUC) is a Microsoft Management Console snap-in that you use to administer Active Directory (AD). You can manage objects (users, computers), Organizational Units (OU), and attributes of each.

ADUC is one of the many tools that you can use to administer AD, but since it has been around since Windows 2000, it is one of the most popular. Read on to see how to run and use ADUC to manage AD.

Get the Free Pen Testing Active Directory Environments EBook

How Do I Add Active Directory Users and Computers?

Some of you might have already looked for ADUC on your laptop to discover that it’s not there. It’s not part of the default installation, and how you get it installed depends on your version of Windows.

In current versions of Windows, ADUC is part of an administrative suite of tools called Remote Server Administration Tools (RSAT).

Remote Server Administration Tools (RSAT)

In an October 2018 update, Microsoft moved all of the Active Directory administration tools to a ‘feature on demand’ called RSAT. Attackers use whatever they can for privilege escalations and exfiltration. They don’t need RSAT to do major damage to your network, but it sure makes it easier! If an attacker got hold of a computer with ADUC installed, they could just change passwords and access rights at will. That would be very bad.

Anyway, if you want to access ADUC on your computer, you need to install RSAT. ADUC is not part of the default installation for any Windows version. Follow the instructions below to install:

Installing ADUC for Windows 10 Version 1809 and Above

1. 1. From the Start menu, select Settings > Apps.
   2. Click the hyperlink on the right side labeled Manage Optional Features and then click the button to Add feature.
   3. Select RSAT: Active Directory Domain Services and Lightweight Directory Tools.
   4. Click Install.
   5. When the installation completes, you will have a new menu item in the start menu called Windows Administrative Tools.

Installing ADUC for Windows 8 and Windows 10 Version 1803 and Below

1. 1. Download and install Remote Server Administrator Tools depending on your version of Windows. The link is for Windows 10, other versions are available in the Microsoft Download Center.
   2. Click the Start button and select Control Panel > Programs > Programs and Features > Turn Windows features on or off.
   3. Scroll down the list and expand Remote Server Administration Tools.
   4. Expand Role Administration Tools.
   5. Expand AD DS and AD LDS Tools.
   6. Check AD DS Tools, then select “OK.”
   7. When the install completes you will have a folder for Administrative Tools on the Start menu. ADUC should be in this list.

Troubleshooting RSAT Installation

There are two common installation issues to check if something goes sideways and you can’t get RSAT installed. First, check that you have enabled Windows Firewall. RSAT uses the Windows Update backend and thus needs Windows Firewall enabled.

Sometimes after the install, you might be missing tabs and such. Uninstall and reinstall. You might have had an older version and the update didn’t work 100%. You can also right click on ADUC in the Start menu and verify the shortcut is pointing to %SystemRoot%\system32\dsa.msc. If it doesn’t point there then you need to uninstall and reinstall for sure.

What is Active Directory Users and Computers Used For?

ADUC can cover most of your AD admin responsibilities. The most important missing task is probably managing GPOs, but you can do most everything else in ADUC.

With ADUC, you can manage the FSMO server roles, reset passwords, unlock users, change group memberships, and too many more to list. There are other tools in RSAT you can also use to manage AD.

• Active Directory Administrative Center: Allows management for the AD Trash Can (accidental deletes), password policies, and displays the PowerShell history.
• Active Directory Domains and Trusts: Lets you administer multiple domains to manage functional level, manage forest functional level, manage User Principle Names (UPN), and manage trusts between domains and forests.
• Active Directory Module for Windows PowerShell: Enables the PowerShell cmdlets to administer AD.
• Active Directory Sites and Services: Allows you to view and manage Sites and Services. You can define the topology of AD and schedule replication.
• ADSI Edit: ADSI Edit is a low-end tool to manage AD objects. AD experts don’t recommend that you use ADSI Edit, use ADUC instead.

Now let’s look at a few different use cases for ADUC.

ADUC for Delegating Control

Scenario: You are looking to limit the sysadmin team’s responsibility to manage specific domains in your network. You would like to assign two sysadmins per domain, a primary and a backup. Here is how you would do this:

1. Open ADUC as Admin.
2. Right click the domain and select Delegate Control.

1. Click through the Wizard until you get to this screen. Add the user(s) you want to delegate administrative responsibilities to here.

1. Select the user and click Next.

1. Select the tasks you are delegating to this user in the next screen.

1. On the next screen you get a recap, click Finish if it looks correct.

ADUC for Adding New Users to Domain

Next we will look at how to add a new user to the domain.

1. Expand the tree for the domain where you want the new user, right click the User container and select New -> User.

1. Fill in the blanks and click Next.

1. Set a password and check the correct boxes and click Next.

1. Verify the user is set up correctly in the next screen and click Finish.

ADUC for Adding a New Group

And to create a new group, follow these steps:

1. Just as before, expand the domain and right click the container where you want the new Group to live, and select New -> Group.
2. Fill in the blanks of the wizard, making sure to select the correct button for “Security” or “Distribution.”

1. Click OK, and then find your new group and open it up, select the Members tab, and add the correct users to this group.

The more you know about the intricacies of AD the better prepared you are to defend it.

Varonis monitors and automates the tasks users perform with ADUC. Varonis provides a full audit log of any AD events (users added, logged in, group changes, GPO changes, etc.) and compares the current activity to a baseline of normalized behavior over time. Any new activity that looks like a cyberattack (brute force, ticket harvesting, privilege escalations, and more) triggers alerts that help protect your network from compromise and data breach.

Additionally, Varonis enables your data owners with the power to control who has access to their data. Varonis automates the process to request, approve, and audit data access. It’s a simple but elegant solution to a huge and increasingly important problem.

Want to see all the ways Varonis can help you manage and secure AD? Check out this on-demand webinar: 25 Key Risk Indicators to Help You Secure Active Directory.

Jeff has been working on computers since his Dad brought home an IBM PC 8086 with dual disk drives. Researching and writing about data security is his dream job.