Диспетчер серверов и Windows Admin Center
Управлять всем этим можно через различные программы. Более старым вариантом является Диспетчер серверов (Server Manager). Он позволяет установить Active Directory Domain Services (AD DS) и назначить компьютеру роль Domain Controller (DC).
Новым ПО для управления компьютерами является Windows Admin Center. Данное программное обеспечение является облегчённым с технической точки зрения (работает в веб браузерах), но при этом более функциональное с точки зрения возможностей. Microsoft активно продвигает Windows Admin Center как приложение которое включает в себя функциональность Диспетчера серверов (Server Manager), а также превосходит её, предлагая множество дополнительных функций и удобные интерфейсы для управления и мониторинга компьютерами.
На самом деле, Windows Admin Center не является полноценной заменой ни для Server Manager, ни для другой оснастки. Это программное обеспечение сильно облегчает выполнение многих популярных действий по администрированию компьютеров и серверов, но для некоторых узкоспециализированных настроек требуется другое ПО.
Мы рассмотрим работу с Active Directory в каждом из этих приложений. Также мы рассмотрим развёртывание и управление Active Directory в PowerShell.
Active Directory Domain Services
Когда люди говорят «Active Directory», они обычно имеют в виду «доменные службы Active Directory» (Active Directory Domain Services, AD DS)
Важно отметить, что существуют другие роли/продукты Active Directory, такие как службы сертификации, службы федерации, службы облегчённого доступа к каталогам, службы управления правами и так далее.. Доменные службы Active Directory — это сервер каталогов Microsoft
Он предоставляет механизмы аутентификации и авторизации, а также структуру, в которой могут быть развёрнуты другие связанные службы (службы сертификации AD, федеративные службы AD и так далее). Это совместимая с LDAP база данных, содержащая объекты. Наиболее часто используемые объекты — это пользователи, компьютеры и группы. Эти объекты могут быть организованы в организационные единицы (OU) по любому количеству логических или бизнес-потребностей. Затем объекты групповой политики (GPO) можно связать с подразделениями, чтобы централизовать настройки для различных пользователей или компьютеров в организации.
Доменные службы Active Directory — это сервер каталогов Microsoft. Он предоставляет механизмы аутентификации и авторизации, а также структуру, в которой могут быть развёрнуты другие связанные службы (службы сертификации AD, федеративные службы AD и так далее). Это совместимая с LDAP база данных, содержащая объекты. Наиболее часто используемые объекты — это пользователи, компьютеры и группы. Эти объекты могут быть организованы в организационные единицы (OU) по любому количеству логических или бизнес-потребностей. Затем объекты групповой политики (GPO) можно связать с подразделениями, чтобы централизовать настройки для различных пользователей или компьютеров в организации.
Как делегировать полномочия на OU
При делегировании полномочия на OU другим пользователям желательно предоставлять права не непосредственно учетным записям пользователям, а административным группам. Таким образом, чтобы предоставить права на OU новому пользователю достаточно добавить его в предварительно созданную доменную группу.
Для делегирования щелкните ПКМ по OU и выберите пункт Delegate Control.
В мастере делегирования управления выберите группу пользователей, которым нужно предоставить доступ.
Затем выберите задачи администрирования, которые нужно делегировать.
В данном примере мы делегировали членам группы AccountOperators полномочия на смену паролей всех пользователей в контейнере Belarus.
Get-ADGroupMember — отображение списка пользователей в группе AD
Чтобы отобразить список пользователей в группе:
Get-ADGroupMember 'TestADGroup'
Чтобы оставить в результатах только имена пользователей, запустите:
Get-ADGroupMember 'TestADGroup' | Format-Table name
Если в эту группу включены другие группы домена, используйте опцию -Recursive для отображения полного списка членов, включая все вложенные группы.
Get-ADGroupMember ADadmins -Recursive | Format-Table name
Чтобы экспортировать список учётных записей, входящих в определённую группу, в файл CSV (для дальнейшего использования в Excel), выполните следующую команду:
Get-ADGroupMember 'ADadmins' -Recursive| Format-Table samaccountname| Out-File c:\PS\ADadminsList.csv
Чтобы добавить данные учётной записи пользователя AD в текстовый файл, используйте командлет Get-ADUser. Например, помимо учётной записи пользователя вам необходимо отобразить должность и номер телефона пользователя:
Get-ADGroupMember -Identity ADadmins -Recursive | ForEach-Object { Get-ADUser $_ -Properties title, OfficePhone | Select-Object title, OfficePhone }
Подсчитать количество пользователей в группе можно так:
(Get-ADGroupMember -Identity 'domain admins').Count
Чтобы получить список пустых групп в конкретном OU, используйте эту команду:
Get-ADGroup -Filter * -Properties Members -SearchBase "OU=NY,OU-US,DC=ds,DC=hackware,DC=ru" | Where-Object {-not $_.members} | Select-Object Name
Управление членством в группах с помощью ADAC
Добавление пользователя в группу
Запустите ADAC, в левой панели навигации переключитесь на “Tree view». Перейдите к OU или контейнеру, в котором находится пользователь и в поле Global Search найдите нужного пользователя, для этого введите имя объекта пользователя в область поиска, а затем нажмите Enter. В списке результатов глобального поиска выберите нужного пользователя. Щелкните правой кнопкой мыши по нему и выберите Add to a group….
В окне «Select Groups» введите имя группы, в которую вы хотите добавить учетную запись. Нажмите «Check Names», a затем OK, чтобы завершить добавление пользователя.
Удаление пользователя из группы
Чтобы удалить пользователя перейдите в OU или контейнер, в котором находится группа. В разделе «Global Search» введите название группы, а затем нажмите Enter. В списке результатов глобального поиска выберите нужную группу. Щелкните по ней правой кнопкой мыши и выберите в Properties. Слева выберите пункт Members, как показано на следующем скриншоте экрана:
Очистка ресурсов
Удаление группы гостевых пользователей
- Войдите на портал Azure с помощью учетной записи глобального администратора организации.
- Выберите Azure Active DirectoryГруппы. Выберите группу Guest users Contoso (Гостевые пользователи Contoso), нажмите кнопку с многоточием (…), а затем выберите Удалить. При удалении группы удаляются все присвоенные лицензии.
Восстановление группы «Все пользователи»
- Выберите Azure Active DirectoryГруппы. Выберите имя группы Все пользователи, чтобы открыть ее.
- Выберите Правила динамического членства, очистите весь текст в правиле и нажмите кнопку Сохранить.
Параметры группы
Параметры группы позволяют определять, кто может создавать группы безопасности и группы Microsoft 365.
Примечание
Поведение этих параметров недавно изменилось. Убедитесь, что эти параметры настроены для вашей организации. Дополнительные сведения см. в разделе .
Следующая таблица поможет вам решить, какие значения выбрать.
| Параметр | Значение | Эффект |
|---|---|---|
| Пользователи могут создавать группы безопасности на порталах Azure, через API или PowerShell | Да | Всем пользователям в вашей организации Azure AD разрешено создавать новые группы безопасности и добавлять в них членов на порталах Azure, через API или PowerShell. Эти новые группы также будут отображаться на панели доступа для всех остальных пользователей. Пользователи смогут создавать запросы на присоединение к таким группам, если это разрешено параметром политики для группы. |
| нет | Пользователи не могут создавать новые группы безопасности и изменять существующие, владельцами которых они являются. Однако они могут управлять членством в этих группах и утверждать запросы на присоединение к группам от других пользователей. | |
| Пользователи могут создавать группы Microsoft 365 на порталах Azure, через API или PowerShell | Да | Всем пользователям в вашей организации Azure AD разрешено создавать новые группы Microsoft 365 и добавлять в них членов на порталах Azure, через API или PowerShell. Эти новые группы также будут отображаться на панели доступа для всех остальных пользователей. Пользователи смогут создавать запросы на присоединение к таким группам, если это разрешено параметром политики для группы. |
| Нет | Пользователи не могут создавать новые группы Microsoft 365 и изменять существующие группы, владельцами которых они являются. Однако они могут управлять членством в этих группах и утверждать запросы на присоединение к группам от других пользователей. |
Ниже приведены дополнительные сведения об этих параметрах группы.
- Изменения вступают в силу в течение 15 минут.
- Если вы хотите, чтобы только отдельные пользователи могли создавать группы, вы можете назначить этим пользователям роль, которая имеет разрешения для создания групп, например .
- Эти параметры предназначены для пользователей и не влияют на субъекты-службы. Например, если у вас есть субъект-служба с разрешениями на создание групп, то даже если для этих параметров задано значение Нет, субъект-служба все равно сможет создавать группы.
Причины изменения параметров группы
Предыдущая реализация параметров группы называлась Пользователи могут создавать группы безопасности на порталах Azure и Пользователи могут создавать группы Microsoft 365 на порталах Azure. Предыдущие параметры управляли только созданием групп на порталах Azure и не применялись к API и PowerShell. Новые параметры определяют создание групп на порталах Azure, а также через API и PowerShell. Новые параметры обеспечивают повышенную безопасность.
По умолчанию для новых параметров установлены предыдущие значения API или PowerShell. Существует вероятность, что значения по умолчанию для новых параметров будут отличаться от предыдущих значений, которые управляются только поведением портал Azure. Начиная с мая 2021 г. предусматривался переходный период в течение нескольких недель. В это время можно было выбрать предпочтительное значение по умолчанию, прежде чем новые параметры вступят в силу. Теперь, когда новые параметры вступили в силу, необходимо убедиться, что эти новые параметры настроены для вашей организации.
Создание пользователей средствами командной строки
Как и в большинстве случаев, в операционной системе Windows есть утилиты командной строки с аналогичными функциями графического пользовательского интерфейса оснастки «Active Directory – пользователи и компьютеры». Такие команды называются командами DS, так как они начинаются с букв DS. Для создания принципалов безопасности используется команда Dsadd. После самой команды указываются модификаторы, которые определяют тип и имя DN объекта. В случае с созданием учетных записей пользователей вам нужно указать модификатор user, который является типом объекта. После типа объекта необходимо ввести DN имя самого объекта. DN (Distinguished Name) объекта является результирующим набором, который содержит отличительное имя. Следом за DN обычно указывают имя пользователя UPN или имя входа предыдущих версий Windows. Если в имени DN присутствуют пробелы, то такое имя нужно заключить в кавычки. Синтаксис команды следующий:
Dsadd user DN_имя –samid имя_учетной_записи –UPN_имя –pwd пароль –дополнительные параметры
С данной командой можно использовать 41 параметр. Рассмотрим самые распространенные из них:
-samid – имя учетной записи пользователя;
-upn – имя входа пользователя пред-Windows 2000;
-fn – имя пользователя, которое в графическом интерфейсе заполняется в поле «Имя»;
-mi – инициал пользователя;
-ln – фамилия пользователя, указываемая в поле «Фамилия» мастера создания пользовательской учетной записи;
-display – указывает полное имя пользователя, которое автоматически генерируется в пользовательском интерфейсе;
-empid – код сотрудника, который создается для пользователя;
-pwd – параметр, определяющий пользовательский пароль. В том случае, если вы укажете символ звездочки (*), вам будет предложено ввести пароль пользователя в защищенном от просмотра режиме;
-desc – краткое описание для пользовательской учетной записи;
-memberof – параметр, определяющий членство пользователя в одной или нескольких группах;
-office – местонахождения офиса, где работает пользователь. В свойствах учетной записи этот параметр можно найти во вкладке «Организация»;
-tel – номер контактного телефона текущего пользователя;
-hometel – параметр, указывающий номер домашнего телефона пользователя;
-mobile – телефонный номер мобильного пользователя;
-fax – номер факсимильного аппарата, который использует текущий пользователь;
-title – должность пользователя в данной организации;
-dept – этот параметр позволяет указать наименование отдела, в котором работает данный пользователь;
-company – название компании, в которой работает создаваемый пользователь;
-hmdir – основной каталог пользователя, в котором будут расположены его документы;
-hmdrv – путь к сетевому диску, на котором будет размещена домашняя папка учетной записи
-profile – путь профиля пользователя;
-mustchpwd – данный параметр указывает на то, что при последующем входе в систему пользователь обязан изменить свой пароль;
-canchpwd – параметр, определяющий, должен ли пользователь изменять свой пароль. Если значением параметра указано «yes», то у пользователя будет возможность изменения пароля;
-reversiblepwd – текущий параметр определяет хранение пароля пользователя с применением обратного шифрования;
-pwdneverexpires – параметр, указывающий на то, что срок действия пароля никогда не истечет. Во всех этих четырех параметрах, значениями могут выступать только «yes» или «no»;
-acctexpires – параметр, определяющий, через сколько дней срок действия учетной записи истечет. Положительное значение представляет собой количество дней, через которое учетная запись истечет, а отрицательное означает, что срок действия уже закончен;
-disabled – указывает, что учетная запись уже отключена. Значениями для этого параметра также выступают «yes» или «no»;
-q – указание тихого режима для обработки команды.
Пример использования:
Dsadd user “cn=Алексей Смирнов,OU=Маркетинг,OU=Пользователи,DC=testdomain,DC=com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Алексей -ln Смирнов -display “Алексей Смирнов” -tel “743-49-62” -email [email protected] -dept Маркетинг -company TestDomain -title Маркетолог -hmdir \\dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd yes -disabled no
Рис. 6. Создание пользовательской учетной записи средствами утилиты Dsadd
Создание простой группы и добавление участников
Можно создать простую группу и сразу добавить в нее участников. Для создания базовой группы и добавления членов используйте следующую процедуру:
-
Войдите на портал Azure с учетной записью глобального администратора каталога.
-
Найдите и выберите Azure Active Directory.
-
На странице Active Directory выберите Группы, а затем Создать группу.
-
Откроется область Новая группа, где необходимо указать обязательные сведения.
-
Выберите стандартный тип группы. Дополнительные сведения о типах групп см. в разделе .
-
Создайте и добавьте имя в поле Имя группы. Выберите осмысленное имя группы, которое легко запомнить. Начнется процесс проверки для определения того, используется ли имя для другой группы. Если имя уже используется, то во избежание повторяющихся имен вам будет предложено изменить имя своей группы.
-
Добавьте адрес электронной почты группы или оставьте автоматически введенный адрес электронной почты.
-
Описание группы. Добавьте дополнительное описание группы.
-
Выберите предопределенное значение в поле Тип членства (обязательно). Дополнительные сведения о типах членства см. в разделе .
-
Нажмите кнопку создания. Ваша группа создана и готова для добавления участников.
-
Выберите область Члены на странице Группа, а затем начните поиск участников для добавления в группу на странице Выбрать участников.
-
Добавив участников, щелкните Выбрать.
Страница Общие сведения о группе обновится, чтобы отобразить количество участников, добавленных в группу.
Дополнительная информация
События предпочтения групповой политики записаны в журнал приложения. Информационные события регистрируются только при включении соответствующих параметров групповой политики. Путь к настройкам для области предпочтений:
Конфигурация компьютера\Политики\Административные шаблоны\System\Group Policy\Logging и отслеживание
Возможные источники событий этих событий:
- Среда групповой политики
- Локальные пользователи и группы групповой политики
- Устройство групповой политики Параметры
- Параметры сети групповой политики
- Диск групповой политики Карты
- Папки групповой политики
- Сетевые акции групповой политики
- Файлы групповой политики
- Источники данных групповой политики
- Файлы ini групповой политики
- Службы групповой политики
- Параметры папки групповой политики
- Запланированные задачи групповой политики
- Реестр групповой политики
- Приложения групповой политики
- Принтеры групповой политики
- Ярлыки групповой политики
- Интернет-Параметры групповой политики
- Меню пусков групповой политики Параметры
- Региональные параметры групповой политики
- Параметры питания групповой политики
События предпочтения групповой политики
| События | Severity | Сообщение |
|---|---|---|
| MessageId=0x1000 (4096) | Успешно | Элемент предпочтений %1 ‘%2’ в объекте групповой политики «%3» применяется успешно. |
| MessageId=0x1002 (4098) | Предупреждение | Пункт предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как он не был с ошибкой с кодом ошибки «%4’%% 100790273 |
| MessageId=0x1003 (4099) | Предупреждение | Расширение на стороне клиента не могло войти в журнал данных RSoP, так как оно не справилось с кодом ошибки «%1». |
| MessageId=0x1004 (4100) | Успешно | Служба остановлена. |
| MessageId=0x1005 (4101) | Успешно | Элемент предпочтений %1 ‘%2’ в объекте групповой политики «%3» был успешно удален. |
| MessageId=0x1006 (4102) | Предупреждение | Диагностика ODBC (%1), %2 |
| MessageId=0x1007 (4103) | Предупреждение | Расширение на стороне клиента не может получить 1 %2 элементов предпочтений для объекта групповой политики «%3», поскольку Windows закрывается или пользователь выходит из журнала. |
| MessageId=0x1009 (4105) | Предупреждение | Пункт предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как целевой элемент не справился с ошибкой с кодом ошибки «%4’%% 100790273. |
| MessageId=0x100A (4106) | Предупреждение | Элемент предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как его элемент таргетинга не справился с ошибкой кода ‘%4’%% 100790273. |
| MessageId=0x1013 (4115) | Успешно | Запущена служба. |
| MessageId=0x2000 (8192) | Предупреждение | Пункт предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как он не был с ошибкой с кодом ошибки «%4’%% 100790275. |
| MessageId=0x2001 (8193) | Предупреждение | Элемент предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как его целевой элемент не справился с ошибкой с кодом ошибки ‘%4’%100790275. |
| MessageId=0x2002 (8194) | Предупреждение | Расширение клиентской стороны не может устанавливать параметры политики %1 %2 для «%3», так как оно не справилось с кодом ошибки «%4’%% 100790275 .В Windows XP и Windows Server 2003 версии групповых предпочтений политики, event ID 8194 имеет серьезность ошибки, а не предупреждение. |
| MessageId=0x2004 (8196) | Предупреждение | Расширение на стороне клиента поймало ненагрузку исключения «%1» внутри: «%2’%100790275 . |
| MessageId=0x2006 (8198) | Предупреждение | Элемент предпочтений %1 ‘%2’ в объекте групповой политики «%3» не был удален из-за ошибки с кодом ошибки «%4’%% 100790275 . |
| MessageId=0x2014 (8212) | Предупреждение | Пункт предпочтений %1 ‘%2’ в объекте групповой политики «%3» не применялся, так как элемент таргетирования не справился с ошибкой с кодом ошибки ‘%4’%100790275 . |
| MessageId=0x201D (8221) | Предупреждение | Ошибка произошла при записи в файл трассировки. Ошибка %1. |
| MessageId=0x2023 (8227) | Предупреждение | Процесс бросил исключение %1 внутри %2. |
| MessageId=0x2024 (8228) | Предупреждение | Ошибка %1 получение диагностического сообщения ODBC. |
| MessageId=0x2025 (8229) | Предупреждение | Ошибка ODBC %1, %2. |
| MessageId=0x1A00 (6656) | Успешно | Скрытый фильтр не прошел. |
| MessageId=0xF001 (61441) | Успешно | Эта ошибка была подавлена.%0 |
| MessageId=0xF003 (61441) | Успешно | Дополнительные сведения см. в файле трассировки.%0 |
Создаем группу с помощью оснастки ADUC
Самый простой способ создать группу – воспользоваться графической консолью Active Directory — Пользователи и компьютеры (dsa.msc). Перейдите в OU, в котором вы хотите создать группу, щелкните по нему ПКМ и выберите Создать -> Группа.
Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.
Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.
Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.
Управление членством в группах
Управлять членством в группе можно несколькими способами:
Управление членством в группе через ADUC
Добавление пользователей в группу
Откройте ADUC (dsa.msc). Перейдите в OU, где находится нужный пользователь. В меню Action выберите Find…. В поле Name введите имя пользователя, которого вы хотите добавить в группу, а затем нажмите Enter.
Щелкните правой кнопкой мыши на нужном пользователе и выберите в меню пункт «Add to a group…».
В окне «Select Group» введите имя нужной группы, или нажмите кнопку «Advanced» для поиска нужной группы. Нажмите кнопку «Check Names», а затем OK, чтобы добавить пользователя в группу.
Удаление пользователя из группы
Перейдите к нужной OU или контейнеру, в котором хранится нужная группа. В меню «Action» выберите «Find…». В поле «Name» введите имя нужной группы и нажмите Enter. Щелкните группу правой кнопкой мыши и выберите «Properties». Переключитесь на вкладку «Members». В окне «Group Properties» выберите пользователя и нажмите «Remove», для удаления.
Нажмите «Да» в окне подтверждения, а затем OK и все готово.
Управление членством в группах с помощью ADAC
Добавление пользователя в группу
Запустите ADAC, в левой панели навигации переключитесь на “Tree view». Перейдите к OU или контейнеру, в котором находится пользователь и в поле Global Search найдите нужного пользователя, для этого введите имя объекта пользователя в область поиска, а затем нажмите Enter. В списке результатов глобального поиска выберите нужного пользователя. Щелкните правой кнопкой мыши по нему и выберите Add to a group….
В окне «Select Groups» введите имя группы, в которую вы хотите добавить учетную запись. Нажмите «Check Names», a затем OK, чтобы завершить добавление пользователя.
Удаление пользователя из группы
Чтобы удалить пользователя перейдите в OU или контейнер, в котором находится группа. В разделе «Global Search» введите название группы, а затем нажмите Enter. В списке результатов глобального поиска выберите нужную группу. Щелкните по ней правой кнопкой мыши и выберите в Properties. Слева выберите пункт Members, как показано на следующем скриншоте экрана:
В разделе Выберите нужного пользователя и нажмите Remove, чтобы удалить пользователя из группы. Будьте внимательны, в этом случае подтверждающего окна показано не будет.
Использование Windows PowerShell
Используйте следующую команду для того чтобы добавить пользователя в группу:
Используйте следующие строки кода PowerShell для удаления пользователя из группы в Active Directory:
Нажмите “y” для подтверждения действия.
