Службы windows для active directory

Добрый день! Уважаемый читатель, рад что ты вновь на страницах компьютерного блога Pyatilistnik.org. Несколько лет назад я выкладывал у себя на сайте пост, о том как развернуть у себя домен на Windows Server 2008 R2. Идет время и на дворе уже 2019 год со своим флагманским серверным продуктом. В сегодняшней статье я бы хотел рассмотреть вопрос установки Active Directory на Windows Server 2019. Мы рассмотрим все методы и нюанса, а так же проведем настройку.

Перед тем как я покажу процесс установки AD в Windows Server 2019, я бы хотел вам напомнить, что ASctive Directory — это по сути создание централизованной базы данных в которой будут хранится и управляться компьютеры, пользователи, принтеры. Более подробно, что такое Active Directory читайте по ссылке слева.

Подготовительный этап

Что я сделал на начальном этапе, произвел установку Windows Server 2019 Standard на виртуальной машине VMware ESXI 6.5. Сделал начальную настройку сервера, так сказать оптимизировал, это включаем настройку IP-адреса, имени и еще некоторых моментов. Когда вы все это произвели, то можете приступать.

Установка и настройка Active Directory на 2019 сервере

Существует два метода выполнения нашей задачи:

1. Классический метод с использованием оснастки «Диспетчер серверов»
2. Использование утилиты Windows Admin Center
3. Второй метод, это использование Power Shell

Установка AD через сервер менеджеров

Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».

Тип установки оставьте «Установка ролей и компонентов».

Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.

Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.

Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.

Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.

Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:

• Средства удаленного администрирования сервера
• Средства администрирования ролей
• Средства AD DS и AD LDS
• Модуль Active Directory для PowerShell
• Центр администрирования Active Directory
• Оснастки и программы командной строки AD DS
• Управление групповой политикой

Нажимаем «Установить». Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory.

Выгруженная конфигурация, это XML файл с таким вот содержанием.

Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.

Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».

То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.

Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.

На следующем окне вы должны выбрать параметры:

• Режим работы леса Active Directory, определяет какие функции и возможности есть на уровне леса.
• Режим работы домена, так же определяет какие функции будут доступны на уровне домена.

• DNS-сервер, лучше всегда совмещать эти роли
• Глобальный каталог, на начальной установке доменных служб Active Directory обязателен, когда вы ставите второй контроллер домена, то вы можете не выставлять, но я вам не советую.
• Контроллер домена только для чтения (RODC), активна не будет при первой установке. Подробнее про использование RODC читайте по ссылке.
• Далее вы задаете пароль восстановления DSRM (Режим восстановления служб каталогов), он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора

Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем, если интересно то читайте про делегирование DNS зон по ссылке слева.

Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.

Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:

• Папка базы данных — C:\Windows\NTDS
• Папка файлов журналов — C:\Windows\NTDS
• Папка SYSVOL — C:\Windows\SYSVOL

Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.

Выглядит сценарий вот так:

Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.

В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.

После установки вам сообщат:

Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.

Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,

В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.

Установка контроллера домена Windows Server 2019 с помощью Powershell

Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.

Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.

Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.

Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.

Полезные команды при установке доменных служб

• Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
• Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
• Просмотр подсетей — Get-ADReplicationSubnet -Filter *
• Включение корзины Active Directory — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
• Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions

Полезные командлеты в модуле ADDSDeployment

• Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
• Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
• Установка дополнительного контроллера домена — Install-ADDSDomainController
• Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
• Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation

Установка и настройка Active Directory Windows Admin Center

Windows Admin Center так же может помочь в установке роли AD DS, для этого в веб интерфейсе зайдите в пункт «Роли и компоненты», выбираем роль и нажимаем установить.

Появится мастер установки, если все верно, то нажмите да.

В правом верхнем углу у вас будет область уведомления, где вы увидите, что запустилось ваше задание.

Процесс установки доменных служб.

Все роль установлена, к сожалению далее вы не сможете из интерфейса Windows Admin Center в виде графического мастера настроить домен, но тут есть слева от колокольчика окно PowerShell, где можно закончить начатое.

Использование средств командной строки службы каталогов для управления объектами Active Directory в Windows Server 2003

В этой статье описывается использование средств командной строки службы каталогов для выполнения задач администрирования Active Directory в Windows Server 2003. Следующие задачи разбивается на группы задач.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 322684

Управление пользователями

В следующих разделах подробно описаны действия по управлению группами.

Создание новой учетной записи пользователя

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

В этой команде используются следующие значения:

• userdn указывает различающейся имя (также известное как DN) объекта пользователя, который требуется добавить.
• sam_name имя диспетчера учетных записей безопасности (SAM), используемое в качестве уникального имени учетной записи SAM для этого пользователя (например, Linda).

Чтобы указать пароль учетной записи пользователя, введите следующую команду, где пароль — это пароль, который будет использоваться для учетной записи пользователя:

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя, введите команду в командной dsadd user /? области.

Сброс пароля пользователя

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

Эта команда использует следующие значения:

• user_dn указывает различающейся имя пользователя, для которого будет сброшен пароль.
• new_password указывает пароль, который заменит текущий пароль пользователя

Чтобы потребовать, чтобы пользователь изменил этот пароль при следующем процессе логин, введите следующую команду:

Если пароль не назначен, при первой попытки пользователя войти в систему (с использованием пустого пароля) отображается следующее сообщение для входа:

Необходимо изменить пароль при первом учете.

После того как пользователь изменил пароль, процесс логин продолжается.

Если пароль учетной записи пользователя службы изменен, необходимо сбросить службы, для проверки подлинности с помощью учетной записи пользователя.

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя, введите команду в командной dsmod user /? области.

Отключение или отключение учетной записи пользователя

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

Эта команда использует следующие значения:

• user_dn указывает различающейся имя объекта пользователя, который необходимо отключить или включить.
• указывает, отключена ли учетная запись пользователя для учетной записи (да) или нет (нет).

В качестве меры безопасности вместо удаления учетной записи этого пользователя можно отключить учетные записи пользователей, чтобы запретить определенному пользователю войти в систему. Если вы отключили учетные записи пользователей с общим членством в группах, вы можете использовать отключенные учетные записи пользователей в качестве шаблонов учетных записей, чтобы упростить создание учетных записей пользователей.

Удаление учетной записи пользователя

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. В поле «Открыть»введите cmd.
3. В командной области введите команду, user_dn имя удаляемого объекта dsrm user_dn пользователя.

После удаления учетной записи пользователя все разрешения и членство, связанные с этой учетной записью пользователя, удаляются окончательно. Так как идентификатор безопасности (SID) для каждой учетной записи уникален, при создании новой учетной записи пользователя с тем же именем, что и ранее удаленная учетная запись пользователя, новая учетная запись не принимает автоматически разрешения и членство ранее удаленной учетной записи. Чтобы дублировать удаленную учетную запись пользователя, необходимо вручную повторно создать все разрешения и членство.

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя, введите команду в командной dsrm /? области.

Управление группами

В следующих разделах подробно описаны действия по управлению группами.

Создание группы

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

Эта команда использует следующие значения:

• group_dn указывает различающейся имя объекта группы, который нужно добавить.
• sam_name имя SAM, которое является уникальным именем учетной записи SAM для этой группы (например, операторы).
• Да | нет указывает, является ли добавляемая группа безопасности (да) или группой рассылки (нет).
• l | g | u указывает область добавляемой группы (локальный домен [l], глобальный [g], или универсальный [u]).

Если домен, в котором создается группа, настроен на функциональный уровень домена смешанной версии Windows 2000, можно выбрать только группы безопасности с локальными областями домена или глобальными областями.

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о группе, введите команду в командной dsadd group /? области.

Добавление участника в группу

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

Эта команда использует следующие значения:

• group_dn указывает различающейся имя объекта группы, который нужно добавить.
• member_dn указывает различающейся имя объекта, который нужно добавить в группу.

Помимо пользователей и компьютеров, группа может содержать контакты и другие группы.

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя и группе, введите в командной командной области dsmod group /? команду .

Преобразование группы в другой тип группы

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

Эта команда использует следующие значения:

• group_dn указывает различается имя объекта группы, для которого необходимо изменить тип группы.
• указывает, что для типа группы задана группа безопасности (да) или группа рассылки (нет).

Чтобы преобразовать группу, необходимо установить для функции домена Windows 2000 Native или более высокий уровень. Вы не можете преобразовать группы, если для функции домена установлено windows 2000 Mixed.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsmod group /? команду .

Изменение области группы

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

Эта команда использует следующие значения:

• group_dn определяет различающейся имена объекта группы, на который будет изменена область.
• l|g|u указывает область, в которую должна быть задана группа (локализованная, глобальная или универсальная). Если для домена по-прежнему установлена смешанная версия Windows 2000, универсальная область не поддерживается. Кроме того, невозможно преобразовать локализованную группу домена в глобальную группу или наоборот.

Изменить области групп можно только в том случае, если для функционального уровня домена установлена версия Windows 2000 Native или более высокая.

Удаление группы

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

В командной подсказке введите dsrm group_dn команду.

В group_dn указывается различается имя удаляемого объекта группы.

Если удалить группу, она будет удалена окончательно.

По умолчанию локальные группы, которые автоматически предоставляются на контроллерах домена под управлением Windows Server 2003, таких как администраторы и операторы учетных записей, находятся во встроенной папке. По умолчанию общие глобальные группы, такие как «Администраторы домена» и «Пользователи домена», находятся в папке «Пользователи». Вы можете добавлять или перемещать новые группы в любую папку. Корпорация Майкрософт рекомендует хранить группы в папке подразделения.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsrm /? команду .

Поиск групп, в которых пользователь является участником

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

В user_dn указывается различается имя объекта пользователя, для которого необходимо отобразить членство в группе.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsget user /? команду .

Управление компьютерами

В следующих разделах подробно описаны действия по управлению компьютерами.

Создание учетной записи компьютера

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

В computer_dn указывается различающейся имя компьютера, который нужно добавить. Различается имя папки.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsadd computer /? команду .

Чтобы изменить свойства учетной записи компьютера, используйте команду компьютера dsmod.

Добавление учетной записи компьютера в группу

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

Эта команда использует следующие значения:

• group_dn указывает различается имя объекта группы, к которому нужно добавить объект компьютера.
• computer_dn указывает различающейся имя объекта компьютера, добавляемого в группу. Различается имя папки.

При добавлении компьютера в группу можно назначить разрешения всем учетным записям компьютеров в этой группе, а затем фильтровать параметры групповой политики для всех учетных записей в этой группе.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsmod group /? команду .

Сброс учетной записи компьютера

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

В computer_dn указаны различаются имена одного или более объектов компьютера, которые необходимо сбросить.

При сбросе учетной записи компьютера разрывается подключение компьютера к домену. После сброса учетной записи компьютера необходимо повторно в нее взламыть учетную запись компьютера домена.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области компьютер dsmod /? .

Отключение или отключение учетной записи компьютера

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

Эта команда использует следующие значения:

• computer_dn имя объекта компьютера, который необходимо отключить или включить.
• указывает, отключен ли компьютер для ввода (да) или нет (нет).

При отключке учетной записи компьютера разрываются подключения компьютера к домену, и компьютер не может проверить подлинность в домене.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsmod computer /? команду .

Управление подразделениями

В следующих разделах подробно описаны действия по управлению подразделениями.

Создание нового подразделения

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

Введите следующую команду:

В organizational_unit_dn указывается различающейся имя добавляемого подразделения.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsadd ou /? команду .

Чтобы изменить свойства подразделения, используйте dsmod ou команду.

Удаление подразделения

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

В командной подсказке введите dsrm organizational_unit_dn команду.

В organizational_unit_dn указывается различающейся имя удаляемого подразделения.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsrm /? команду .

При удалении подразделения удаляются все объекты, которые он содержит.

Поиск в Active Directory

В следующих разделах подробно описаны действия по поиску в Active Directory.

Поиск учетной записи пользователя

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

В командной подсказке введите dsquery user parameter команду.

Параметр указывает параметр, который необходимо использовать. Список параметров см. в справке в Интернете для команды squery user d.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsquery user /? команду .

Поиск контакта

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

В командной подсказке введите dsquery contact parameter команду.

Параметр указывает параметр, который необходимо использовать. Список параметров см. в справке пользователя dsquery в Интернете.

Поиск группы

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

В командной подсказке введите dsquery group parameter команду.

Параметр указывает параметр, который необходимо использовать. Список параметров см. в справке пользователя dsquery в Интернете.

По умолчанию локальные группы, которые автоматически предоставляются на контроллерах домена под управлением Windows Server 2003, таких как администраторы и операторы учетных записей, находятся во встроенной папке. По умолчанию общие глобальные группы, такие как «Администраторы домена» и «Пользователи домена», находятся в папке «Пользователи». Вы можете добавлять или перемещать новые группы в любую папку. Корпорация Майкрософт рекомендует хранить группы в папке подразделения.

Поиск учетной записи компьютера

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

В командной подсказке введите dsquery computer -name name команду.

Это имя указывает имя компьютера, которое ищет команда. Эта команда выполняет поиск компьютеров, чьи атрибуты имени (значение атрибута CN) совпадают с именем.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsquery computer /? команду .

Поиск подразделения

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

В командной подсказке введите dsquery ou parameter команду.

Параметр указывает параметр, который необходимо использовать. Список параметров см. в справке в dsquery ou Интернете.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной области dsquery ou /? команду .

Поиск контроллера домена

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

В командной подсказке введите dsquery server parameter команду.

Параметр указывает параметр, который необходимо использовать. Существует несколько атрибутов сервера, которые можно искать с помощью этой команды. Список параметров см. в справке в Интернете dsquery server.

Выполнение пользовательского поиска

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите cmd.

В командной подсказке введите dsquery * parameter команду.

Параметр указывает параметр, который необходимо использовать. С помощью этой команды можно найти несколько атрибутов. Дополнительные сведения о поиске LDAP см. в комплекте ресурсов Windows Server 2003.

Ссылки

Для получения дополнительных сведений о средствах командной строки служб каталогов в Windows Server 2003 нажмите кнопку «Начните», выберите «Справка и центр поддержки», а затем введите в поле поиска средства командной строки службы каталогов.

Читайте также:  Драйвера для hp 3390 для windows 10