Advanced ad ds management using active directory administrative center (level 200)

Разница между группой безопасности и группой рассылки

AD состоит из двух основных групп — групп рассылки и групп безопасности.

Группы рассылки — создаются в первую очередь для распространения электронных писем. Они полезны для таких приложений, как Microsoft Exchange или Outlook, и, как правило, позволяют легко добавлять и удалять контакты из одного из этих списков. Нельзя использовать группу рассылки для фильтрации параметров групповой политики, группа не предназначена для работы с предоставлением доступа на ресурсы. По возможности, пользователей следует назначать в группы рассылки, а не в группы безопасности, поскольку членство в слишком большом количестве групп безопасности может привести к замедлению входа в систему.

Группы безопасности — позволяют ИТ-отделу управлять доступом к общим ресурсам, контролируя доступ пользователей и компьютеров. Группы безопасности можно использовать для назначения прав безопасности в сети AD. (Эти группы также можно использовать для рассылки электронной почты.) Каждой группе безопасности назначается набор прав пользователей, определяющих их возможности в лесу. Например, некоторые группы могут восстанавливать файлы, а другие нет.

Эти группы обеспечивают ИТ-контроль над параметрами групповой политики, что означает, что разрешения могут быть изменены на нескольких компьютерах. Разрешения отличаются от прав — они применяются к общим ресурсам в домене. Некоторые группы могут иметь больше доступа, чем другие, когда дело доходит до общих ресурсов.

Диспетчер серверов и Windows Admin Center

Управлять всем этим можно через различные программы. Более старым вариантом является Диспетчер серверов (Server Manager). Он позволяет установить Active Directory Domain Services (AD DS) и назначить компьютеру роль Domain Controller (DC).

Новым ПО для управления компьютерами является Windows Admin Center. Данное программное обеспечение является облегчённым с технической точки зрения (работает в веб браузерах), но при этом более функциональное с точки зрения возможностей. Microsoft активно продвигает Windows Admin Center как приложение которое включает в себя функциональность Диспетчера серверов (Server Manager), а также превосходит её, предлагая множество дополнительных функций и удобные интерфейсы для управления и мониторинга компьютерами.

На самом деле, Windows Admin Center не является полноценной заменой ни для Server Manager, ни для другой оснастки. Это программное обеспечение сильно облегчает выполнение многих популярных действий по администрированию компьютеров и серверов, но для некоторых узкоспециализированных настроек требуется другое ПО.

Мы рассмотрим работу с Active Directory в каждом из этих приложений. Также мы рассмотрим развёртывание и управление Active Directory в PowerShell.

Перенаправление CN=Computers на указанный администратором OU

1. Войдите в систему с учетными данными администратора домена в домене, куда перенаправляется контейнер CN=computers.

2. Переход домена на домен Windows Server 2003 в оснастке пользователей и компьютеров Active Directory (Dsa.msc) или в snap-in доменов и трастов (Domains.msc). Дополнительные сведения об увеличении функционального уровня домена см. в дополнительных сведениях о повышении уровней функциональных функций домена и леса.

3. Создайте контейнер OU, в котором требуется, чтобы компьютеры, созданные с API более ранней версии, находились, если нужного контейнера OU не существует.

4. Выполнить Redircmp.exe по командной подсказке с помощью следующего синтаксиса. В команде контейнер-dn — это отличительное имя OU, которое станет расположением по умолчанию для вновь созданных компьютерных объектов, созданных с помощью API на уровне ниже:

   Redircmp.exe устанавливается в папке в Windows Server 2003 или более поздних версиях. Чтобы изменить расположение по умолчанию для компьютера, созданного с API более ранней версии, например Net User, на контейнер OU=mycomputers в домене CONTOSO.COM, используйте следующий синтаксис:

   Примечание

   Когда Redircmp.exe для перенаправления контейнера CN=Computers в OU, указанному администратором, контейнер CN=Computers больше не будет защищенным объектом. Это означает, что контейнер Computers теперь можно перемещать, удалять или переименовывать. Если вы используете ADSIEDIT для просмотра атрибутов в контейнере CN=Computers, вы увидите, что атрибут systemflags был изменен с -1946157056 на . Данное поведение является особенностью продукта.

Управление компьютерами

В следующих разделах подробно описаны действия по управлению компьютерами.

Создание новой учетной записи компьютера

1. Нажмите кнопку Пуск и выберите пункт Выполнить.

2. В поле Open введите cmd.

3. Введите следующую команду:

   В computer_dn указывается имя компьютера, которое необходимо добавить. Отличительное имя указывает расположение папки.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите .

Чтобы изменить свойства учетной записи компьютера, используйте команду компьютера dsmod.

Добавление учетной записи компьютера в группу

1. Нажмите кнопку Пуск и выберите пункт Выполнить.

2. В поле Open введите cmd.

3. Введите следующую команду:

   В этой команде используются следующие значения:

   • group_dn указывает отличительное имя объекта группы, к которому необходимо добавить объект компьютера.
   • computer_dn указывает отличительное имя объекта компьютера, который будет добавлен в группу. Отличительное имя указывает расположение папки.

При добавлении компьютера в группу можно назначить разрешения всем учетным записям компьютера в этой группе, а затем фильтровать параметры групповой политики для всех учетных записей этой группы.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите .

Сброс учетной записи компьютера

1. Нажмите кнопку Пуск и выберите пункт Выполнить.

2. В поле Open введите cmd.

3. Введите следующую команду:

   В computer_dn указаны имена одного или более объектов компьютера, которые необходимо сбросить.

   Примечание

   При сбросе учетной записи компьютера вы разбиваем подключение компьютера к домену. После сброса учетной записи компьютера необходимо повторно присоединяться к учетной записи компьютера домена.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите компьютер dsmod /? .

Отключить или включить учетную запись компьютера

1. Нажмите кнопку Пуск и выберите пункт Выполнить.

2. В поле Open введите cmd.

3. Введите следующую команду:

   В этой команде используются следующие значения:

   • computer_dn указывает отличительное имя объекта компьютера, который необходимо отключить или включить.
   • {Да|no} указывает, отключен ли компьютер для логотипа (да) или нет (нет).

При отключке учетной записи компьютера вы разбиваете подключение компьютера к домену, и компьютер не может проверить подлинность домена.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите .

Преимущества перехода на Windows Server 2008 R2

Даже если в вашей компании уже развёрнута служба каталогов Active Directory на базе Windows Server 2003, то вы можете получить целый ряд преимуществ, перейдя на Windows Server 2008 R2. Windows Server 2008 R2 предоставляет следующие дополнительные возможности:

1. Контроллер домена только для чтения RODC (Read-only Domain Controller). Контроллеры домена хранят учётные записи пользователей, сертификаты и много другой конфиденциальной информации. Если серверы расположены в защищённых ЦОД-ах, то о сохранности данной информации можно быть спокойным, но что делать, если котроллер домена стоит в филиале в общедоступном месте. В данном случае существует вероятность, что сервер украдут злоумышленники и взломают его. А затем используют эти данные для организации атаки на вашу корпоративную сеть, с целью кражи или уничтожения информации. Именно для предотвращения таких случаев в филиалах устанавливают контролеры домена только для чтения (RODC). Во-первых RODC-контроллеры не хранят пароли пользователей, а лишь кэшируют их для ускорения доступа, а во-вторых они используют одностороннюю репликацию, только из центральных серверов в филиал, но не обратно. И даже, если злоумышленники завладеют RODC контроллером домена, то они не получат пароли пользователей и не смогут нанести ущерб основной сети.

2. Восстановление удалённых объектов Active Directory. Почти каждый системный администратор сталкивался с необходимостью восстановить случайно удалённую учётную запись пользователя или целой группы пользователей. В Windows 2003 для этого требовалось восстанавливать службу каталогов из резервной копии, которой зачастую не было, но даже если она и была, то восстановление занимало достаточно много времени. В Windows Server 2008 R2 появилась корзина Active Directory. Теперь при удалении пользователя или компьютера, он попадает в корзину, из которой он может быть восстановлен за пару минут в течение 180 дней с сохранением всех первоначальных атрибутов.

3. Упрощённое управление. В Windows Server 2008 R2 были внесены ряд изменений, значительно сокращающих нагрузку на системных администраторов и облегчающих управление ИТ-инфраструктурой. Например появились такие средства, как: Аудит изменений Active Directory, показывающий, кто, что и когда менял; политики сложности паролей настраеваемые на уровне групп пользователей, ранее это было возможно сделать только на уровне домена; новые средства управления пользователями и компьютерами; шаблоны политик; управление при помощи командной строки PowerShell и т.д.

Как изменить интервал актуализации групповой политики?

Прежде чем новые параметры, заданные вами в локальной или доменной групповой политике (GPO), будут применены к клиентам Windows, служба клиента групповой политики должна прочитать политики и внести изменения в настройки Windows. Этот процесс называется Group Policy Update (актуализация групповой политики). Параметры GPO обновляются при загрузке компьютера, входе пользователя в систему и автоматически обновляются в фоновом режиме каждые 90 минут + случайное смещение времени 0–30 минут (это означает, что параметры политики обязательно будут применены к клиентам через 90–120 минут после обновления файлов GPO на контроллере домена).

По умолчанию контроллеры домена обновляют настройки GPO чаще: каждые 5 минут.

Вы можете изменить интервал обновления GPO, используя параметр Set Group Policy refresh interval for computers («Установить интервал обновления групповой политики для компьютеров»). В редакторе управления групповыми политиками эта настройка находится поо пути Computer Configuration → Administrative Templates → System → Group Policy (в русскоязычной версии «Конфигурация компьютера» → «Административные шаблоны» → «Система» → «Групповая политика»).

Включите политику и установите время (в минутах) для следующих параметров:

• Первое значение позволяет настроить частоту применения групповой политики к компьютерам (от 0 до 44640 минут), как часто клиент должен обновлять параметры GPO в фоновом режиме. Если вы установите здесь 0, то политики будут обновляться каждые 7 секунд (делать этого не стоит);
• Второе значение — это случайная величина, добавляемая к интервалу времени обновления, во избежание одновременных запросов групповой политики всеми клиентами (от 0 до 1440 минут). Это максимальное значение случайного временного интервала, добавляемого в качестве смещения к предыдущему параметру (используется для уменьшения количество одновременных обращений клиентов к DC для загрузки файлов GPO).

Обратите внимание, что частое обновление GPO приводит к увеличению трафика на контроллеры домена и приводит к увеличению нагрузки на сеть.

Использование команды GPUpdate.exe для принудительного обновления настроек GPO

Все администраторы знают команду gpupdate.exe, которая позволяет обновлять параметры групповой политики на компьютере:

gpupdate /force

Эта команда заставляет ваш компьютер читать все объекты групповой политики с контроллера домена и повторно применять все настройки. Это означает, что когда используется ключ /force, клиент подключается к контроллеру домена, чтобы получить файлы для ВСЕХ политик, нацеленных на него. Это может привести к увеличению нагрузки на вашу сеть и контроллер домена.

Команда gpudate без каких-либо параметров применяет только новые и изменённые настройки GPO.

В случае успеха появится следующее сообщение:

Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

В русифицированной версии:

Выполняется обновление политики...

Обновление политики для компьютера успешно завершено.
Обновление политики пользователя завершено успешно.

Если некоторые политики или параметры не были применены, используйте команду GPResult для диагностики проблемы и следуйте инструкциям в статье «Устранение неполадок: групповая политика (GPO) не применяется».

Вы можете обновить только настройки GPO пользователя:

gpupdate /target:user

или только параметры политики компьютера:

gpupdate /target:computer /force

Если некоторые политики не могут быть обновлены в фоновом режиме, gpupdate может завершить сеанс текущего пользователя:

gpupdate /target:user /logoff

Или перезагрузить компьютер (если изменения GPO можно применить только при загрузке Windows):

gpupdate /Boot

Как создать Organizational Unit с помощью консоли ADUC

Для создания Organizational Unit ваша учетная запись должна обладать правами Domain Admins, или ей должны быть делегированы полномочия на создание новый OU (во всем домене или конкретном контейнере).

Откройте оснастку Active Directory Users and Conputers (ADUC – dsa.msc) и выберите контейнер домена, в котором вы хотите создать новый OU (мы создадим новый OU в корне домене). Щелкните ПКМ по имени домена и выберите New -> Organizational Unit. Укажите имя создаваемого OU.

По умолчанию все создаваемые Organizational Unit защищены от случайного удаления.

Если вы откроете свойства созданного OU, вы увидите что на вкладке Object включена опция «Protect object from accidental deletion». Чтобы вы могли удалить данный OU, нужно снять данный чекбокс. При удалении OU удаляются все другие объекты, которое содержатся в контейнере.

Чем рабочие группы отличаются от доменов

Рабочая группа — это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы — это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.

Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа — это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры — все они объединены на равных. Для рабочей группы пароль также не требуется.

Рабочие группы использовались для общего доступа к домашним файлам и принтерам в предыдущих версиях Windows. Теперь вы можете использовать домашнюю группу чтобы легко обмениваться файлами и принтерами между домашними ПК. Рабочие группы теперь переведены в фоновый режим, поэтому вам не нужно о них беспокоиться — просто оставьте имя рабочей группы по умолчанию WORKGROUP и настройте общий доступ к файлам домашней группы.

Есть несколько различий между доменами и рабочими группами:

• В доменах, в отличие от рабочих групп, могут размещаться компьютеры из разных локальных сетей.
• Домены могут использоваться для размещения гораздо большего числа компьютеров, чем рабочие группы. Домены могут включать тысячи компьютеров, в отличие от рабочих групп, у которых обычно есть верхний предел, близкий к 20.
• В доменах имеется по крайней мере один сервер — это компьютер, который используется для управления разрешениями и функциями безопасности для каждого компьютера в домене. В рабочих группах нет сервера, и все компьютеры равноправны.
• Пользователям домена обычно требуются идентификаторы безопасности, такие как логины и пароли, в отличие от рабочих групп.

Группы безопасности, учетные записи пользователей и другие основы AD

Операционная система Windows используется на многих предприятих, соответственно ИТ-специалисты используют Active Directory (AD). Active Directory является неотъемлемой частью архитектуры сети предприятия, позволяя ИТ-специалистам лучше контролировать доступ и безопасность. AD — это централизованная стандартная система, позволяющая системным администраторам автоматически управлять своими доменами, учетными записями пользователей и устройствами (компьютерами, принтерами и т.д.) в сети.

AD имеет решающее значение для ряда функций — она может отвечать за хранение централизованных данных, управление связью между доменами и предоставление безопасных сертификатов. Самое главное — AD дает системным администраторам контроль над паролями и уровнями доступа в их сети для управления различными объектами в системе. В то же время Active Directory может помочь пользователям облегчить доступ к ресурсам в сети.

Управление пользователями

В следующих разделах подробно описаны действия по управлению группами.

Создание новой учетной записи пользователя

1. Нажмите кнопку Пуск и выберите пункт Выполнить.

2. В поле Open введите cmd.

3. Введите следующую команду:

   В этой команде используются следующие значения:

   • Userdn указывает отличительное имя (также известное как DN) объекта пользователя, который необходимо добавить.
   • sam_name указывает имя диспетчера учетной записи безопасности (SAM), используемое в качестве уникального имени учетной записи SAM для этого пользователя (например, Linda).

4. Чтобы указать пароль учетной записи пользователя, введите следующую команду, где пароль — это пароль, который будет использоваться для учетной записи пользователя:

Примечание

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей, в командной подсказке введите .

Сброс пароля пользователя

1. Нажмите кнопку Пуск и выберите пункт Выполнить.

2. В поле Open введите cmd.

3. Введите следующую команду:

   В этой команде используются следующие значения:

   • user_dn указывает имя пользователя, для которого будет сброшен пароль.
   • new_password указывает пароль, который заменит текущий пароль пользователя

4. Если требуется потребовать от пользователя изменить этот пароль при следующем процессе логона, введите следующую команду:

Если пароль не назначен, при первой попытки входа (с помощью пустого пароля) отображается следующее сообщение с логотипом:

После изменения пароля пользователем процесс логона продолжается.

При смене пароля учетной записи пользователя необходимо сбросить службы, которые являются аутентификацией с учетной записью пользователя.

Примечание

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей, в командной подсказке введите .

Отключить или включить учетную запись пользователя

1. Нажмите кнопку Пуск и выберите пункт Выполнить.

2. В поле Open введите cmd.

3. Введите следующую команду:

   В этой команде используются следующие значения:

   • user_dn указывает отличительное имя объекта пользователя, которое должно быть отключено или включено.
   • {Да|no} указывает, отключена ли учетная запись пользователя для логотипа (да) или нет (нет).

Примечание

В качестве меры безопасности вместо удаления учетной записи этого пользователя можно отключить учетные записи пользователей, чтобы предотвратить вход конкретного пользователя. Если отключать учетные записи пользователей с общими групповыми членствами, можно использовать отключенные учетные записи в качестве шаблонов учетных записей для упрощения создания учетных записей пользователей.

Удаление учетной записи пользователя

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. В поле Open введите cmd.
3. В командной подсказке введите команду, user_dn указывает отличительное имя удаляемого объекта пользователя.

После удаления учетной записи пользователя все разрешения и членство, связанные с этой учетной записью пользователя, будут удалены навсегда. Поскольку идентификатор безопасности (SID) для каждой учетной записи уникален, если вы создаете новую учетную запись пользователя, которая имеет то же имя, что и ранее удаленная учетная запись пользователя, новая учетная запись автоматически не предполагает разрешений и членства ранее удаленной учетной записи. Чтобы повторить удаленную учетную запись пользователя, необходимо вручную повторно создать все разрешения и членство.

Примечание

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей, в командной подсказке введите .

Репликация Active Directory средствами Windows PowerShell

В Windows Server 2012 добавлены дополнительные командлеты для репликации Active Directory в модуль Active Directory для Windows PowerShell. Они позволяют настраивать новые и существующие сайты, подсети, подключения, связи сайтов и мосты. Они также возвращают метаданные репликации Active Directory, состояние репликации, а также актуальные данные об очередях и векторе синхронизации версий. Командлеты репликации в сочетании с другими командлетами модуля Active Directory позволяют администрировать весь лес, используя только Windows PowerShell. Все это дает новые возможности администраторам, желающим предоставлять ресурсы и управлять системой Windows Server 2012 без использования графического интерфейса, что сокращает уязвимость операционной системы к атакам и требования к обслуживанию. Это приобретает особое значение, если серверы необходимо развернуть в сетях с высоким уровнем защиты, таких как сети SIPR и корпоративные сети периметра.

Подробнее о топологии сайтов и репликации доменных служб Active Directory см. в разделе Технический справочник по Windows Server.

Включение устройств Windows нижнего уровня.

Если некоторые из присоединенных к домену устройств являются устройствами Windows нижнего уровня, выполните указанные ниже действия.

• Настройте в Azure AD политику, разрешающую пользователям регистрировать устройства.
• Настройте локальную службу федерации, чтобы она выдавала утверждения встроенной проверки подлинности Windows (IWA), необходимые для регистрации устройств.
• В локальные зоны интрасети добавьте конечную точку проверки подлинности устройств в Azure AD, чтобы избежать запросов сертификатов при проверке подлинности устройств.
• Управляйте устройствами Windows нижнего уровня.

Настройте политику регистрации устройств в Azure AD.

Чтобы поддерживать регистрацию устройств Windows нижнего уровня, необходимо установить параметр, разрешающий пользователям регистрировать устройства в Azure AD. Чтобы найти этот параметр, на портале Azure выберите Azure Active DirectoryПользователи и группыПараметры устройства.

Для следующей политики нужно установить значение Все: Пользователи могут регистрировать устройства в Azure AD.

Настройка локальной службы федерации

Локальная служба федерации должна поддерживать выдачу утверждений authenticationmehod и wiaormultiauthn при получении запросов на аутентификацию к проверяющей стороне Azure AD, содержащих параметр resource_params со следующим закодированным значением:

При поступлении такого запроса локальная служба федерации должна выполнить проверку подлинности пользователя, используя встроенную проверку подлинности Windows. При успешной проверке подлинности служба федерации должна выдать следующие два утверждения:

В AD FS следует добавить правило преобразования выдачи, пропускающее метод проверки подлинности. Чтобы добавить это правило, сделайте следующее:

1. В консоли управления служб федерации Active Directory выберите AD FSОтношения доверияОтношения доверия проверяющей стороны.

2. Щелкните правой кнопкой мыши объект отношений доверия с проверяющей стороной платформы удостоверений Microsoft Office 365 и выберите Edit Claim Rules (Изменить правила для утверждений).

3. На вкладке Правила преобразования выдачи выберите Добавить правило.

4. Из списка шаблонов Claim rule (Правило для утверждений) выберите Отправка утверждений с помощью настраиваемого правила.

5. Выберите Далее.

6. В поле Claim rule name (Имя правила утверждения) введите Auth Method Claim Rule (Правило для утверждений метода проверки подлинности).

7. В поле Claim rule (Правило для утверждения) введите такое правило:

8. На сервере федерации введите следующую команду PowerShell. Замените RPObjectName> именем объекта проверяющей стороны для объекта отношений доверия с проверяющей стороной Azure AD. Как правило, этот объект называется платформой удостоверений Microsoft Office 365.

Добавление конечной точки для аутентификации устройств Azure AD в локальные зоны интрасети

Чтобы избежать запросов сертификатов при проверке подлинности в Azure AD пользователей с зарегистрированных устройств, можно отправить политику на присоединенные к домену устройства, добавив следующий URL-адрес в зону локальной интрасети в Internet Explorer:

Управление устройствами Windows нижнего уровня

Чтобы регистрировать устройства Windows нижнего уровня, необходимо скачать из Центра загрузки Майкрософт и установить пакет установщика Windows (MSI-файл). Дополнительные сведения см. в разделе об .

Средство просмотра журнала Windows PowerShell в центре администрирования Active Directory

В Windows Server 2008 R2 появился центр администрирования Active Directory, который заменил известную администраторам еще со времен Windows 2000 оснастку «Пользователи и компьютеры Active Directory». Центр администрирования Active Directory предоставляет графический интерфейс для модуля Active Directory для Windows PowerShell.

Так как модуль Active Directory содержит более ста командлетов, в них можно легко запутаться. Сейчас среда Windows PowerShell тесно интегрирована в стратегию администрирования ОС Windows, и центр администрирования Active Directory теперь включает в себя средство просмотра, которое позволяет наблюдать за выполнением командлетов в графическом интерфейсе. Вы можете осуществлять поиск и копирование, очищать историю и добавлять заметки в простом интерфейсе. Это позволяет администратору использовать графический интерфейс для создания и изменения объектов, а затем просматривать их с помощью средства просмотра журнала, чтобы узнавать больше о возможностях сценариев PowerShell на примерах.

Службы Active Directory

Службы Active Directory состоят из нескольких служб каталогов. Наиболее известными являются доменные службы Active Directory, обычно сокращенно AD DS или просто AD.

Доменные службы

Доменные службы Active Directory (AD DS) — это фундамент каждой доменной сети Windows . Он хранит информацию о членах домена, включая устройства и пользователей, проверяет их учетные данные и определяет их права доступа . Сервер, на котором запущена эта служба, называется контроллером домена . С контроллером домена связываются, когда пользователь входит в систему, обращается к другому устройству в сети или запускает бизнес -приложение в стиле Metro, загруженное на устройство.

Другие службы Active Directory (за исключением , как описано ниже), а также большинство серверных технологий Microsoft полагаются на доменные службы или используют их; примеры включают в себя групповую политику , шифрованный файловую систему , BitLocker , доменные имена , Desktop Services Remote , Exchange Server и SharePoint Server .

Самоуправляемые AD DS не следует путать с управляемыми Azure AD DS , которые являются облачным продуктом.

Сертификационные услуги

Службы сертификатов Active Directory (AD CS) создают локальную инфраструктуру открытых ключей . Он может создавать, проверять и отзывать сертификаты открытых ключей для внутреннего использования в организации. Эти сертификаты могут использоваться для шифрования файлов (при использовании с шифрованной файловой системой ), электронной почты (в соответствии со стандартом S / MIME ) и сетевого трафика (при использовании виртуальными частными сетями , протоколом безопасности транспортного уровня или протоколом IPSec ).

AD CS появился раньше Windows Server 2008, но назывался просто «Службы сертификации».

AD CS требует инфраструктуры AD DS.

Службы федерации

Как следует из названия, AD FS работает на основе концепции федеративного удостоверения .

AD FS требует инфраструктуры AD DS, хотя ее партнер по федерации не может.

Услуги по управлению правами

Службы управления правами Active Directory ( AD RMS , известные как службы управления правами или RMS до Windows Server 2008 ) — это серверное программное обеспечение для управления правами на информацию, поставляемое с Windows Server . Он использует шифрование и форму выборочного отказа в функциональности для ограничения доступа к таким документам, как корпоративная электронная почта , документы Microsoft Word и веб-страницы , а также к операциям, которые авторизованные пользователи могут выполнять с ними.

Использование средства просмотра журнала Windows PowerShell в Центре администрирования Active Directory

Будущее управления Windows связано с Windows PowerShell. Благодаря размещению графических средств поверх платформы автоматизации задач управление сложнейшими распределенными системами стало последовательным и эффективным. Зная принципы работы Windows PowerShell, вы сможете полностью раскрыть свой потенциал и извлечь максимальную пользу из своих инвестиций в компьютерное оборудование.

Теперь Центр администрирования Active Directory позволяет просматривать историю выполнения всех командлетов Windows PowerShell, включая их аргументы и значения. При этом историю командлетов можно скопировать для дальнейшего изучения или изменения и повторного использования. Вы можете создавать примечания к задачам и описывать, какой результат команды Центра администрирования Active Directory дали в Windows PowerShell. Также можно фильтровать историю на предмет интересных моментов.

Средство просмотра журнала Windows PowerShell в Центре администрирования Active Directory позволяет учиться на основе практического опыта.

Чтобы открыть средство просмотра журнала Windows PowerShell, нажмите на шеврон (стрелку).

Затем создайте пользователя или измените членство в группе. Средство просмотра журнала постоянно обновляется — в нем появляется свернутое представление каждого командлета, выполненного Центром администрирования Active Directory, и указываются его аргументы.

Разверните любую интересующую вас строку, чтобы увидеть значения всех аргументов командлета:

Откройте меню Запустить задачу и создайте заметку, а затем воспользуйтесь Центром администрирования Active Directory для создания, изменения или удаления объекта. Укажите свои действия. Закончив внесение изменений, выберите команду Закончить задачу. В заметке к задаче все выполненные действия будут представлены в виде свернутого примечания, позволяющего лучше понять суть задачи.

Например, все команды Windows PowerShell, которые использовались для изменения пароля пользователя и удаления пользователя из группы, будут выглядеть следующим образом:

Если установить флажок «Показать все», в окне появятся также командлеты Windows PowerShell с глаголом Get-*, предназначенные только для извлечения данных.

В средстве просмотра журнала отображаются тексты всех команд, выполненных Центром администрирования Active Directory, и может показаться, что некоторые команды выполняются без причины. Например, создать нового пользователя можно с помощью команды:

и нет необходимости использовать команды:

Структура Центра администрирования Active Directory предусматривает минимальное использование кодов и модулей. Таким образом, вместо отдельных наборов функций для создания новых пользователей и изменения уже существующих он выполняет каждую задачу по минимуму, а затем соединяет их воедино с помощью командлетов. Помните об этом при изучении модуля Active Directory в Windows PowerShell. Эту особенность можно также использовать как способ изучения, показывающий, как просто выполнять отдельные задачи с помощью Windows PowerShell.