Установка Active Directory Domain Services в PowerShell
Установить Active Directory Domain Services с помощью PowerShell можно как вводя команды непосредственно в консоль сервера, так и подключившись к нему удалённо. Это возможно при помощи средств PowerShell remoting (удалённого управления Windows PowerShell).
PowerShell remoting включено на серверах Windows. В моих тестах не потребовалось что-либо дополнительно настраивать, хотя информация противоречива: в документации можно встретить информацию, что PowerShell remoting включён только на Windows Server Core и что обычно необходимо, чтобы сетевое расположение было частное (а не общедоступное), то есть Private, а не Public.
Связанная статья: Как изменить сетевое расположение с общедоступного на частное в Windows 10 и Windows Server 2016/2019/2022?
Get-PSSessionConfiguration
Все последующие действия применимы для Windows Server с графическим рабочим столом и Windows Server Core.
Подключаемся к серверу при помощи команды вида:
Enter-PSSession -ComputerName ИМЯ_СЕРВЕРА -Credential ИМЯ_СЕРВЕРА\Administrator
Например, имя сервера TEST-SERVER, тогда команда следующая:
Enter-PSSession -ComputerName TEST-SERVER -Credential TEST-SERVER\Administrator
Если вы используете PowerShell 5, то будет показано такое окно для ввода пароля учётной записи администратора удалённого компьютера:
Если вы используете последние версии PowerShell, то пароль вводится прямо в приглашение командной строки.
Обратите внимание, что изменилось приглашение командной строки. Было
PS C:\Users\MiAl>
стало
: PS C:\Users\Administrator\Documents>
Если вы пользователь Linux, то Enter-PSSession это примерно как SSH. То есть теперь мы находимся в командной строке удалённого компьютера и все запускаемые команды будут выполнять на удалённом сервере, а не на локальном системе.
Теперь можно приступить к установке роли «Active Directory Domain Services».
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Началась установка выбранной роли и необходимых для неё компонентов.
Для того чтобы повысить роль сервера до уровня контроллера домена выполняем команду:
Install-ADDSForest -DomainName "dc.hackware.ru" -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "7" -DomainNetbiosName "DC" -ForestMode "7" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$True -SysvolPath "C:\Windows\SYSVOL" -Force:$true
Обратите внимание на опции:
- -DomainName «dc.hackware.ru»
- -DomainNetbiosName «DC»
В них устанавливается имя контроллера доменов и имя NetBIOS. Замените их на собственные значения.
В приглашении командной строки укажите пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога), который называется здесь SafeModeAdministratorPassword, и нажмите «Enter».
Подтверждаем пароль и нажимаем «Enter».
Начался процесс повышения роли сервера до уровня контроллера домена.
Повышение роли сервера до уровня контроллера домена завершено.
Перезагрузим компьютер:
Restart-Computer -Force
Опять подключимся к удалённому компьютеру, чтобы проверить успешность установки
Обратите внимание, что предыдущая команда, с помощью которой мы успешно подключились к серверу, больше не работает, поскольку хотя я и обозначил имя пользователя как «ИМЯ_СЕРВЕРА\Administrator», на самом деле это всё-таки «РАБОЧАЯ_ГРУППА\Administrator». РАБОЧАЯ_ГРУППА совпадает с ИМЕНЕМ_СЕРВЕРА, поэтому я не стал вас путать раньше времени.
Но теперь сервер является частью не рабочей группы, а частью домена, поэтому команда для подключения должна выглядеть так:
Enter-PSSession -ComputerName ИМЯ_СЕРВЕРА -Credential ДОМЕН\Administrator
Например:
Enter-PSSession -ComputerName TEST-SERVER -Credential dc.hackware.ru\Administrator
Подключение к серверу установленно.
Проверим статус служб необходимых для работы контроллера домена с помощью команды:
Get-Service adws,kdc,netlogon,dns
Службы необходимые для работы контроллера домена запущены.
Для просмотра детальной информации о конфигурации контроллера домена можно выполнить команду:
Get-ADDomainController
Для просмотра детальной информации о домене Active Directory можно выполнить команду:
Get-ADDomain dc.hackware.ru
Для просмотра детальной информации о лесе Active Directory можно выполнить команду:
Get-ADForest dc.hackware.ru
Для проверки доступности общей папки «SYSVOL» можно выполнить команду:
Get-SmbShare SYSVOL
Общая папка «SYSVOL» доступна. Она используется для предоставления клиентам параметров групповой политики и сценариев входа и выхода в систему.
Возвращаемся на рабочую станцию (отключаем удалённую сессию PowerShell):
exit
Шаг 9 — очистка контроллеров домена
После удаления ЦС сертификаты, выданные контроллерам домена, должны быть удалены.
Чтобы удалить сертификаты, выданные контроллерам домена Windows Server 2000, используйте утилиту Dsstore.exe из набора ресурсов Microsoft Windows 2000.
Чтобы удалить сертификаты, выданные контроллерам домена Windows Server 2000, выполните следующие действия:
-
Выберите Начните, выберите Выполнить, введите cmd и нажмите кнопку ENTER.
-
На контроллере домена введите dsstore-dcmon в командной подсказке и нажмите кнопку ENTER.
-
Тип 3, а затем нажмите ВВОД. Это действие удаляет все сертификаты на всех контроллерах домена.
Примечание
Утилита Dsstore.exe будет проверять сертификаты контроллера домена, которые выданы каждому контроллеру домена. Сертификаты, которые не проверяются, удаляются из соответствующего контроллера домена.
Чтобы удалить сертификаты, выданные контроллерам Windows Server 2003, выполните следующие действия.
Важно!
Не используйте эту процедуру, если вы используете сертификаты, основанные на шаблонах контроллера домена версии 1.
-
Выберите Начните, выберите Выполнить, введите cmd и нажмите кнопку ENTER.
-
В командной подсказке на контроллере домена введите certutil-dcinfo deleteBad.
Certutil.exe проверяет все сертификаты DC, которые выданы контроллерам домена. Сертификаты, которые не проверяются, удаляются.
Чтобы принудить к применению политики безопасности, выполните следующие действия:
- Выберите Начните, выберите Выполнить, введите cmd в поле Открыть, а затем нажмите ВВОД.
- В командной подсказке введите соответствующую команду для соответствующей версии операционной системы и нажмите кнопку ENTER:
-
Для Windows Server 2000:
-
Для Windows Server 2003:
-
Что может администратор сети через Active Directory?
Не всем в вашей организации обязательно нужен доступ ко всем файлам/документам, имеющим отношение к вашей компании. С помощью Active Directory вы можете предоставить отдельным пользователям разрешение на доступ к любым файлам/дискам, подключённым к сети, чтобы все участвующие стороны могли использовать ресурсы по мере необходимости. Кроме того, вы можете указать ещё более точные разрешения. Чтобы проиллюстрировать это, давайте рассмотрим пример: предположим, у вашей компании есть каталог в сети для всех документов, относящихся к кадрам. Сюда могут входить любые формы, которые нужны сотрудникам для подачи в отдел кадров (официальные запросы, официальные жалобы и так далее). Предположим также, что в каталоге есть таблица, в которой указано, когда сотрудники будут в отпуске и отсутствовать в офисе. Ваш сетевой администратор может предоставить всем пользователям доступ к этому каталогу только для чтения, что означает, что они могут просматривать документы и даже распечатывать их, но они не могут вносить какие-либо изменения или удалять документы. Затем администратор может предоставить расширенные права вашему менеджеру/директору по персоналу или любому другому сотруднику отдела кадров, которому потребуется редактировать файлы, хранящиеся в каталоге.
Ещё одним огромным плюсом для сетевых администраторов, использующих Active Directory, является то, что они могут выполнять обновления в масштабе всей сети одновременно. Когда все ваши машины автономны и действуют независимо друг от друга, вашим сетевым администраторам придётся переходить от машины к машине каждый раз, когда необходимо выполнить обновления. Без Active Directory им пришлось бы надеяться, что все сотрудники обновят свои машины самостоятельно.
AD позволяет централизовать управление пользователями и компьютерами, а также централизовать доступ к ресурсам и их использование.
Вы также получаете возможность использовать групповую политику, когда у вас настроена AD. Групповая политика — это набор объектов, связанных с подразделениями, которые определяют параметры для пользователей и/или компьютеров в этих подразделениях. Например, если вы хотите сделать так, чтобы в меню «Пуск» не было опции «Завершение работы» для 500 лабораторных ПК, вы можете сделать это с помощью одного параметра в групповой политике. Вместо того, чтобы тратить часы или дни на настройку правильных записей реестра вручную, вы создаёте объект групповой политики один раз, связываете его с правильным OU (organizational units, организационные единицы) или несколькими OU, и вам больше никогда не придётся об этом думать. Существуют сотни объектов групповой политики, которые можно настроить, и гибкость групповой политики является одной из основных причин доминирования Microsoft на корпоративном рынке.
Установка службы сертификации Active Directory
Для этого нужно запустить диспетчер сервера.
Далее жмем «Добавить роли и компоненты». Кнопка далее.
Выбираем пункт установка ролей или компонентов, а затем выбираем наш сервер.
В следующем окне выбираем пункт службы сертификатов Active Directory.
В окне выбора компонентов жмем далее.
В окне служба ролей выбираем пункт центр сертификации.
Запускаем процесс установки.
После этого по аналогии устанавливаем веб-службу регистрации сертификатов.
Установка завершена. Перейдем к настройке.
Настройка службы сертификатов Active Directory
Заходим в настройки.
Выбираем службу центр сертификации.
Вариант установки – центр сертификации предприятия.
Тип центра сертификации – корневой. Это необходимо для того, что бы в дальнейшем мы могли самостоятельно выдавать и подписывать сертификаты.
В следующем окне нужно выбрать пункт создать новый закрытый ключ.
Затем необходимо указать параметры шифрования. Вы можете указать свои параметры, или параметры как у меня на рисунке ниже.
В следующем окне указывается имя центра шифрования.
Затем указывается срок действия центра сертификации. По умолчанию он равен 5 годам. Так и оставим.
После нажатия кнопки далее вам нужно будет указать физическое место на жестком диске для хранения базы данных.
Подтверждаем настройку.
Перейдем к настройке web-службы регистрации сертификатов.
Тип проверки подлинности – имя пользователя и пароль.
Учетная запись службы CES – использовать встроенное удостоверение пула приложений.
В окне выбора сертификата проверки подлинности сервера выберите существующий сертификат, затем нажмите кнопку настроить.
Настройка выполнена.
Выберите тип проверки подлинности – имя и пароль пользователя.
Включите режим обновления на останове ключей. Этот режим позволяет автоматически обновлять сертификаты ключей для компьютеров, которые не подключены к внутренней сети.
Перезагрузите сервер.
Что такое Active Directory
Active Directory — это технология Microsoft, которая представляет собой распределенную базу данных, в которой хранятся объекты в иерархическом, структурированном и безопасном формате. Объекты AD обычно представляют пользователей, компьютеры, периферийные устройства и сетевые службы. Каждый объект уникально идентифицируется своим именем и атрибутами. Домен, лес и дерево представляют собой логические подразделения инфраструктуры AD.
Домены Windows обычно используются в больших сетях — корпоративных сетях, школьных сетях и государственных сетях. Они не то, с чем вы столкнётесь дома, если у вас нет ноутбука, предоставленного вашим работодателем или учебным заведением.
Типичный домашний компьютер — обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Компьютер, присоединённый к домену, отличается — этими настройками управляет контроллер домена.
Версии Windows 10
Чтобы включить Active Directory-пользователи и компьютеры на ПК с Windows 10, сначала необходимо установить RSAT — средства удаленного администрирования сервера. Если вы используете более старую версию Windows 10, то есть 1803 или ниже, вам нужно будет загрузить файлы RSAT из центра загрузки Microsoft.
С другой стороны, во всех версиях Windows 10, начиная с выпуска 10 октября 2020 года, RSAT включен как «Функция по требованию». Вам не нужно загружать инструменты, а только устанавливать и включать их
Обратите внимание, что только выпуски Enterprise и Professional поддерживают RSAT и Active Directory
Для чего вы можете использовать Active Directory — пользователи и компьютеры?
Надстройка «Active Directory — пользователи и компьютеры» может покрыть большинство задач и обязанностей администратора AD. У него есть свои ограничения — например, он не может управлять объектами групповой политики.
Но вы можете использовать его для сброса паролей, редактирования членства в группах, разблокировки пользователей и многого другого. Вот некоторые основные инструменты в вашем распоряжении, когда вы включаете ADUC на вашем компьютере.
- Active Directory Домены и трасты. С помощью этого инструмента вы можете управлять функциональными уровнями леса, UPN (основными именами пользователей), функциональными уровнями нескольких доменов. Это также позволяет управлять доверием между лесами и доменами.
- Центр администрирования Active Directory. В этом разделе ADUC вы можете управлять своей историей PowerShell, политиками паролей и корзиной AD.
- Сайты и службы Active Directory. Этот инструмент дает вам контроль и понимание сайтов и услуг. Это позволяет планировать репликацию и определять топологию AD.
Запуск оснастки схема Active Directory
Если вы запустите диспетчер серверов, то вы не сможете найти такую оснастку, по неведомой мне причине разработчики не захотели ее отображать, для того чтобы это исправить вам необходимо выполнить регистрацию определенной библиотеки.
Хочу отметить, что зарегистрировать оснастку схема Active Directory вы можете не только на контроллерах домена, но и еще на рабочих станциях, где установлен пакет RSAT
Я все свои действия буду производить в Windows Server 2019. И так откройте командную строку от имени администратора и введите команду:
regsvr32 schmmgmt.dll
Видим, что произошло «Успешное выполнение DllRegisterServer в schmmgmt.dll».
Далее вам необходимо запустить окно выполнить и ввести mmc.
Откройте меню «Файл — Добавить или удалить оснастку», кто постоянно это делает, тот может помнить сочетание клавиш «Ctrl+M».
Находим в списке доступных оснасток «Схема Active Directory» и добавляем ее с помощью кнопки в правую область.
Теперь можно просто нажать «Ок»
В результате чего у вас будет произведено подключение к серверу мастера схемы, тот кто держит эту роль FSMO. В моем примере, это dc01.root.pyatilistnik.org. Сама оснастка разбивает схему на два раздела:
- Классы
- Атрибуты
Перед вами список классов, это так сказать главные сущности в Active Directory.
Вот вам пример свойств у всем известного класса «User». Тут можно посмотреть какими атрибутами обладает данный класс и многое другое.
Теперь перейдите в раздел атрибутов. Тут будет список повнушительнее, хочу отметить что за время вашей профессиональной работы вам не раз придется тут создавать новые атрибуты и тем самым расширять схему Active Directory. В своем примере я вам покажу свойства всем известного атрибута SamAccountName. У атрибута есть такие свойства:
- описание
- Общее имя
- X.500.OID
- Синтаксис
- Минимум
- Максимум
- Индексировать атрибут
- Выполнять разрешение неоднозначных имен (ANR)
- Реплицировать этот атрибут в глобальный каталог
- Индексировать атрибут для контейнерного поиска
Если вы часто используете оснастку «Схема Active Directory», то я вам советую ее сохранить в виде консоли mmc. Для этого в меню «Файл — Сохранить как» выберите соответствующий пункт.
Указываете нужное имя для данной mmc консоли и место ее сохранения.
На выходе вы получите ярлык, при необходимости в его свойствах вы можете изменить его значок.
На этом у меня все. Мы с вами успешно произвели регистрацию и последующий запуск оснастки «Schema Active Directory». С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Полезные команды при установке доменных служб
- Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
- Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
- Просмотр подсетей — Get-ADReplicationSubnet -Filter *
- Включение корзины Active Directory — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
- Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions
Полезные командлеты в модуле ADDSDeployment
- Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
- Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
- Установка дополнительного контроллера домена — Install-ADDSDomainController
- Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
- Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation
Как включить аудит изменений организационных единиц
Поскольку все необходимые нам события генерируются на контроллерах домена, то логично предположить, что нам необходимо настроить на них аудит для определенных событий. Для это вам нужно открыть оснастку по управлению групповой политикой (gpmc.msc). Находите контейнер «Domain Controllers» в нем есть политика «Default Domain Controllers Policy», можно использовать ее, но мне кажется правильнее создать отдельный объект GPO и явным образом его идентифицировать. Сделаем, это через правый клик по контейнеру и из контекстного меню выберем пункт «Создать объект групповой политики в этом домене и связать его с данной OU».
Задаем понятное для вас имя политики
Далее переходим к изменению новой политики.
Чтобы активировать нужный нам аудит событий по изменению в организационных подразделениях Active Directory, вам необходимо пройти в такой раздел:
Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Политика аудита (Computer Configuration — Policies — Windows Settings — Security Settings — Local Policies — Audit Policy)
Находим в данном разделе пункт «Аудит доступа к службе каталогов» и активируем пункты «Успех» и «отказ».
При таком раскладе у вас будет много событий аудита, но вы их легко можете фильтровать на уровне списка управления доступом
Не забывайте, что есть более тонкая настройка аудита изменений в OU Active Directory, и находится она в конфигурации расширенной политики аудита.
Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Конфигурация расширенной политики аудита — Политика аудита — Доступ к службе каталогов (DS) (Computer Configuration — Policies — Windows Settings — Security Settings — Advanced Audit Policy Configuration — Audit Policies — DS Access — Audit Directory Service Access)
Так же активируйте «Аудит изменения службы каталогов (Audit Directory Service Access)».
Не забывайте, что для того, чтобы активировать расширенный аудит вам необходимо включить параметр «Аудит: принудительное перенаправление параметров категории политики аудита параметрами под категории политики аудита» в разделе «Локальные политики\Параметры безопасности»
После включения аудита Active Directory, давайте выберем, что мы хотим проверять. Откройте окно «Редактирование ADSI» Выбираете контекст именования по умолчанию.
Разверните узел «Контекст именования по умолчанию» и найдите в нем ваш домен. Щелкните по нему правым кликом мыши и из контекстного меню нажмите пункт «Свойства».
Далее в новом окне открываем вкладку «Безопасность», где находим кнопку «Дополнительно». Нажав ее у вас откроется дополнительное окно, где нас интересует вкладка «Аудит».
Нажмите кнопку «Добавить». В окне элемента аудита, нажмите кнопку «Выберите субъект». Введите «Все» в текстовом поле, чтобы проверить изменения, внесенные всеми объектами Active Directory в организационных единицах. Вы можете ввести имя пользователя или группы, чтобы проверять только изменения, сделанные ими. Нажмите «Проверить имена», чтобы подтвердить запись, и нажмите «ОК», чтобы добавить ее.
В поле «Тип» выберите пункт «Все», в поле «Применяется к этому объекту и всем дочерним объектам», выставите разрешения «Полный доступ», вы конечно можете найти только событие по изменению организационных подразделений, но лучше выбрать все, мало ли вам потребуется что-то другое.
Видим на вкладке с правами у группы «Все» полный доступ. Сохраняем все настройки.
Установка контроллера домена Windows Server 2019 с помощью Powershell
Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.
# Импорт модуля ServerManager Import-Module ServerManager # Установка роли AD DS со всеми зависимыми компонентами Add-WindowsFeature –Name AD-Domain-Services –IncludeAllSubFeature –IncludeManagementTools # Импорт модуля ADDSDeployment Import-Module ADDSDeployment # Установка нового леса Install-ADDSForest ` # Не включать делегирование -CreateDnsDelegation:$false ` # Путь к базе данных AD -DatabasePath «C:\Windows\NTDS» ` # Режим работы домена -DomainMode «WinThreshold» ` # Задаем имя домена -DomainName «partner.pyatilistnik.info» ` # Задаем короткое NetBIOS имя -DomainNetbiosName «PARTNER» ` # Задаем режим работы леса -ForestMode «WinThreshold» ` # Указываем, что будем устанавливать DNS-сервер -InstallDns:$true ` # Задаем путь к NTDS -LogPath «C:\Windows\NTDS» ` # Если требуется перезагрузка, то перезагружаемся -NoRebootOnCompletion:$false ` # Задаем путь до папки SYSVOL -SysvolPath «C:\Windows\SYSVOL» ` -Force:$true
Скачать скрипт установки доменных служб Active Directory
Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.
Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.
Предварительная проверка.
Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.
Рекомендуемое максимальное количество пользователей в группе
Немного о прошлом, для сред Windows 2000 Active Directory рекомендуемое максимальное количество членов в группе составляет 5000. Эта рекомендация основана на количестве одновременных атомарных изменений, которые могут быть зафиксированы в одной транзакции базы данных.
Начиная с Windows Server 2003 вплоть до Windows Server 2019, возможность реплицировать отдельные изменения в связанные многозначные свойства была представлена как технология, называемая репликацией связанных значений Linked Value Replication (LVR). Чтобы включить LVR, необходимо повысить функциональный уровень леса по крайней мере до промежуточного уровня Windows Server 2003. Повышение функционального уровня леса меняет способ хранения членства в группе (и других связанных многозначных атрибутов) в базе данных и репликации между контроллерами домена. Это позволяет количеству членств в группах превышать ранее рекомендованный предел в 5000 для Windows 2000 или Windows Server 2003 на функциональном уровне леса Windows 2000. В любом случае я не представляю зачем пользователю состоять в таком количестве групп.