Администриране на акаунти в домейна на Active Directory. Управление на разрешенията на Active Directory. Подробни настройки за политики за блокиране на акаунти и пароли в Административния център

През 2002 г., докато вървях по коридора на факултета по компютърни науки на любимия ми университет, видях нов плакат на вратата на офиса на „NT Systems”. Плакатът изобразява икони на потребителски акаунти, групирани в групи, от които стрелките на свой ред водят до други икони. Всичко това беше схематично обединено в определена структура, беше написано нещо единна системавход, авторизация и други подобни. Доколкото сега разбирам, този плакат изобразява архитектурата на Windows NT 4.0 Domains и Windows 2000 Active Directory системи. От този момент започна първото ми запознанство с Active Directory и веднага приключи, тъй като имаше тежка сесия, забавна ваканция, след която един приятел сподели дискове FreeBSD 4 и Red Hat Linux и през следващите няколко години се потопих в света на Unix-подобни системи, но никога не съм забравял съдържанието на плаката.
Към системи на Windows платформаСървър, трябваше да се върна и да ги опозная по-отблизо, когато се преместих да работя за компания, където управлението на цялата ИТ инфраструктура беше базирано на Active Directory. Спомням си, че главният администратор на тази компания повтаряше нещо за някои най-добри практики на Active Directory на всяка среща. Сега, след 8 години периодична комуникация с Active Directory, разбирам доста добре как работи тази система и какви са най-добрите практики на Active Directory.
Както вероятно вече се досещате, ще говорим за Active Directory.
За всички които се интересуват тази тема, добре дошла в кат.

Тези препоръки са валидни за клиентски системи, започващи от Windows 7 и по-нови, за домейни и гори на Windows сървър 2008/R2 и по-нови.

Стандартизация
Планирането за Active Directory трябва да започне с разработването на вашите стандарти за именуване на обекти и тяхното местоположение в директорията. Необходимо е да се създаде документ, който да определя всички необходими стандарти. Разбира се, това е доста често срещана препоръка за ИТ специалисти. Принципът „първо пишем документация, а след това изграждаме система, използвайки тази документация“ е много добър, но рядко се прилага на практика поради много причини. Сред тези причини е обикновеният човешки мързел или липсата на подходяща компетентност; останалите причини произтичат от първите две.
Препоръчвам ви първо да напишете документацията, да я обмислите и едва след това да продължите с инсталирането на първия домейн контролер.
Като пример ще дам част от документа относно стандартите за именуване на обекти на Active Directory.
Наименуване на обекти.

• Името на потребителските групи трябва да започва с префикса GRUS_ (GR - Група, US - Потребители)
• Име компютърни групитрябва да започва с префикса GRCP_ (GR - Група, CP - Компютри)
• Името на делегираните групи за правомощия трябва да започва с префикса GRDL_ (GR - Група, DL - Делегиране)
• Името на групите за достъп до ресурси трябва да започва с префикса GRRS_ (GR - Група, RS - ресурси)
• Името на групите за политики трябва да започва с префиксите GPUS_, GPCP_ (GP - Групова политика, US - Потребители, CP - Компютри)
• Името на клиентските компютри трябва да се състои от две или три букви от името на организацията, последвано от число, разделено с тире, например nnt-01.
• Името на сървърите трябва да започва само с две букви, следвани от тире и следвани от ролята на сървъра и неговия номер, например nn-dc01.

Опростете всичко възможно най-много, опитайте се да постигнете баланс
При изграждането на Active Directory е необходимо да се следва принципът за постигане на баланс, като се избират прости и разбираеми механизми.
Принципът на баланса е да се постигне необходимата функционалност и безопасност при максимална простота на решението.
Необходимо е да се опитате да изградите системата така, че нейната структура да е разбираема за най-неопитен администратор или дори потребител. Например, по едно време имаше препоръка да се създаде горска структура от няколко домейна. Освен това беше препоръчано да се разположат не само многодомейнни структури, но и структури от няколко гори. Може би тази препоръка съществува поради принципа „разделяй и владей“ или защото Microsoft каза на всички, че домейнът е границата на сигурността и като разделим организацията на домейни, ще получим отделни структури, които са по-лесни за индивидуален контрол. Но както показа практиката, по-лесно е да се поддържат и контролират системи с един домейн, където границите на сигурността са организационни единици (OU), а не домейни. Затова избягвайте създаването на сложни многодомейнни структури; по-добре е да групирате обекти по OU.
Разбира се, трябва да действате без фанатизъм - ако е невъзможно без няколко домейна, тогава трябва да създадете няколко домейна, също и с гори. Основното е, че разбирате какво правите и до какво може да доведе това.
Важно е да разберете, че простата инфраструктура на Active Directory е по-лесна за администриране и наблюдение. Дори бих казал, че колкото по-просто, толкова по-безопасно.
Прилагайте принципа на опростяване. Опитайте се да постигнете баланс.

Следвайте принципа - "обект - група"
Започнете да създавате обекти на Active Directory, като създадете група за на този обекти вече присвоете на групата необходими права. Нека разгледаме един пример. Трябва да създадете основен администраторски акаунт. Първо създайте групата Head Admins и едва след това създайте самия акаунт и го добавете тази група. Задайте главни администраторски права на групата Главни администратори, например, като я добавите към групата Администратори на домейн. Почти винаги се оказва, че след известно време друг служител идва на работа, който се нуждае от подобни права и вместо да делегира права на различни секции на Active Directory, ще бъде възможно просто да го добавите към необходимата група, за която системата вече е определила роля и се делегират необходимите правомощия.
Още един пример. Трябва да делегирате права на OU с потребители на групата системни администратори. Не делегирайте права директно на групата администратори, а създайте специална група като GRDL_OUName_Operator_Accounts, на която присвоявате права. След това просто добавете групата отговорни администратори към групата GRDL_OUName_Operator_Accounts. Определено ще се случи, че в близко бъдеще ще трябва да делегирате права върху тази OU на друга група администратори. И в този случай вие просто ще добавите групата данни на администраторите към групата за делегиране GRDL_OUName_Operator_Accounts.
Предлагам следната структурагрупи.

• Потребителски групи (GRUS_)
• Административни групи (GRAD_)
• Групи за делегиране (GRDL_)
• Групи правила (GRGP_)

• Сървърни групи (GRSR_)
• Групи клиентски компютри (GRCP_)

• Групи за достъп споделени ресурси(GRRS_)
• Групи за достъп до принтер (GRPR_)

OU архитектура.
Архитектурата на OU трябва да се обмисли преди всичко от гледна точка на сигурността и делегирането на права върху това OU на системните администратори. Не препоръчвам планиране на архитектурата на OU от гледна точка на свързване на групови политики към тях (въпреки че това се прави най-често). За някои препоръката ми може да изглежда малко странна, но аз изобщо не препоръчвам връзване групови политикикъм OU. Прочетете повече в раздела Групови правила.
Администратори на OU
Препоръчвам да създадете отделен OU за административни акаунти и групи, където можете да поставите акаунтите и групите на всички администратори и инженери техническа поддръжка. Достъпът до този OU трябва да бъде ограничен до обикновени потребителии делегирайте управлението на обекти от този OU само на главните администратори.
OU Компютри
Компютърните OU са най-добре планирани по отношение на географското местоположение на компютрите и видовете компютри. Разпределете компютри от различни географски местоположения в различни OU и на свой ред ги разделете на клиентски компютри и сървъри. Сървърите също могат да бъдат разделени на Exchange, SQL и други.

Потребители, права в Active Directory
На потребителските акаунти в Active Directory трябва да се обърне специално внимание. Както беше казано в раздела за OU, потребителските акаунти трябва да бъдат групирани въз основа на принципа на делегиране на правомощия към тези акаунти. Също така е важно да се спазва принципът на най-малките привилегии - колкото по-малко права има даден потребител в системата, толкова по-добре. Препоръчвам незабавно да включите нивото на привилегия на потребителя в името на неговия акаунт. Акаунтът за ежедневна работа трябва да се състои от фамилното име на потребителя и инициалите на латиница (Например IvanovIV или IVIvanov). Задължителните полета са: име, инициали, фамилия, екранно име (на руски), имейл, мобилен телефон, длъжност, мениджър.
Администраторските акаунти трябва да бъдат от следните типове:

• С администраторски права на потребителски компютри, но не и на сървъри. Трябва да се състои от инициалите на собственика и местния префикс (например iivlocal)
• С права за администриране на сървъри и Active Directory. Трябва да се състои само от инициали (например iiv).

Състав на домейн и локални групи. Механизъм за ограничени групи
Съставът на домейн и локални групи на домейн компютри трябва да се контролира само автоматично, като се използва механизмът за ограничени групи. Ще обясня защо трябва да се направи само по този начин, като използвам следния пример. Обикновено, след разкъсване на домейн на Active Directory, администраторите се добавят към домейн групи като администратори на домейн, корпоративни администратори, добавяне към необходими групиИнженерите по техническа поддръжка и другите потребители също са разделени на групи. В процеса на администриране на този домейн процесът на издаване на права се повтаря многократно и ще бъде изключително трудно да си спомните, че вчера временно сте добавили счетоводителя Нина Петровна към групата на администраторите на 1C и че днес трябва да я премахнете от тази група. Ситуацията ще се влоши, ако компанията има няколко администратора и всеки от тях от време на време предоставя права на потребители в подобен стил. Само след година ще бъде почти невъзможно да разберете на кого какви права са възложени. Следователно съставът на групите трябва да се контролира само от групови политики, които ще подредят всичко с всяко приложение.
Състав на вградени групи
Струва си да се каже, че вградените групи като оператори на акаунти, оператори за архивиране, оператори на криптиране, гости, оператори на печат, оператори на сървъри трябва да са празни, както в домейна, така и на клиентските компютри. Тези групи са преди всичко необходими за осигуряване обратна съвместимостс по-стари системи и потребителите на тези групи получават твърде много права в системата и стават възможни атаки за ескалация на привилегии.

Локални администраторски акаунти
Използвайки механизма за ограничени групи, трябва да блокирате Сметкиместните администратори на локални компютри, блокирайте акаунти на гости и изчистете групата на локалните администратори на локалните компютри. Никога не използвайте групови правила за задаване на пароли за локални администраторски акаунти. Този механизъм не е защитен; паролата може да бъде извлечена директно от правилата. Но ако решите да не блокирате акаунти на локален администратор, използвайте механизма LAPS, за да зададете правилно паролите и да ги редувате. За съжаление настройката на LAPS не е напълно автоматизирана и следователно ще трябва ръчно да добавяте атрибути към схемата на Active Directory, да им присвоявате права, да присвоявате групи и т.н. Следователно е по-лесно да блокирате локални администраторски акаунти.
Сервизни акаунти.
За да изпълнявате услуги, използвайте акаунти за услуги и механизма gMSA (достъпен на Windows 2012 и по-нови системи)

Групови правила
Документирайте политиките, преди да ги създадете/промените.
Когато създавате политика, използвайте принципа Политика - Група. Тоест, преди да създадете правило, първо създайте група за това правило, премахнете групата Удостоверени потребители от обхвата на правилото и добавете създадената група. Свържете политиката не към OU, а към корена на домейна и регулирайте обхвата на нейното приложение, като добавите обекти към групата политики. Считам този механизъм за по-гъвкав и разбираем от свързването на политика с OU. (Точно за това писах в раздела за OU Architecture).
Винаги коригирайте обхвата на политиката. Ако сте създали политика само за потребители, деактивирайте компютърната структура и обратно, деактивирайте потребителската структура, ако сте създали политика само за компютри. Благодарение на тези настройки политиките ще се прилагат по-бързо.
Настройвайте ежедневно архивиранеполитики с помощта на Power Shell, така че в случай на грешки в конфигурацията винаги можете да върнете настройките към оригиналните.
Централен магазин
Започвайки с Windows 2008, стана възможно да се съхраняват шаблони на ADMX Group Policy в централно място за съхранение, SYSVOL. Преди, по подразбиране, всички шаблони на правила се съхраняваха локално на клиенти. За да поставите ADMX шаблони в централното хранилище, трябва да копирате съдържанието на папката %SystemDrive%\Windows\PolicyDefinitions заедно с подпапките от клиентските системи (Windows 7/8/8.1) в директорията на домейн контролера %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions с обединено съдържание, но без замяна. След това трябва да направите същото копие от сървърните системи, като започнете от най-старата. И накрая, когато копирате папки и файлове от последна версиясървър, направете копие с merge и REPLACE.

Копиране на ADMX шаблони

Освен това ADMX шаблони за всякакви софтуерни продукти могат да бъдат поставени в централното хранилище, например, Microsoft Office, продукти на Adobe, Google и др. Отидете на уебсайта на доставчика на софтуера, изтеглете шаблона за групови правила на ADMX и го разопаковайте в папката %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions на който и да е домейн контролер. Сега можете да контролирате какво ви трябва софтуерен продуктчрез групови политики.
WMI филтри
WMI филтрите не са много бързи, така че е за предпочитане да използвате механизма за насочване на ниво артикул. Но ако насочването на ниво елемент не може да се използва и решите да използвате WMI, тогава препоръчвам незабавно да създадете няколко от най-често срещаните филтри за себе си: филтъра „Само клиентски операционни системи“, „Само сървърни операционни системи“, „Windows 7 ” филтри, „Windows” филтри 8”, „Windows 8.1”, „Windows 10”. Ако имате готови набори от WMI филтри, тогава ще бъде по-лесно да ги приложите необходим филтъркъм желаната политика.

Одитиране на събития в Active Directory
Уверете се, че сте активирали одита на събития на домейн контролери и други сървъри. Препоръчвам да активирате одит на следните обекти:

• Одит на компютърното управление на акаунта - успех, провал
• Одит на други събития за управление на акаунти - успех, провал
• Одит на управлението на групата за сигурност - успех, провал
• Одит на управлението на потребителските акаунти - успех, неуспех

• Проверка на услугата за удостоверяване на Kerberos - неуспех
• Одит на други събития при влизане в акаунта - неуспех
• Одит Промяна на политиката за одит - успех, провал

Разширени настройки за одит

Няма да се спирам подробно на настройките за одит, тъй като в интернет има достатъчен брой статии, посветени на тази тема. Само ще добавя, че в допълнение към активирането на одита, трябва да настроите имейл известия за критични събития за сигурността. Също така си струва да се има предвид, че в системи с голям брой събития си струва да се отделят отделни сървъри за събиране и анализ на лог файлове.

Скриптове за администриране и почистване
Всички подобни и често повтарящи се действия трябва да се извършват с помощта на административни скриптове. Тези действия включват: създаване на потребителски акаунти, създаване на администраторски акаунти, създаване на групи, създаване на OU и т.н. Създаването на обекти с помощта на скриптове ви позволява да спазвате логиката на именуване на обекти на Active Directory чрез изграждане на проверки на синтаксиса направо в скриптовете.
Също така си струва да напишете скриптове за почистване, които автоматично ще наблюдават състава на групите, ще идентифицират потребители и компютри, които не са се свързвали с домейна от дълго време, ще идентифицират нарушения на други стандарти и т.н.
Не го видях като изрична официална препоръка за използване на администраторски скриптове за наблюдение на съответствието и извършване на операции във фонов режим. Но самият аз предпочитам проверки и процедури в автоматичен режим с помощта на скриптове, тъй като това спестява много време и елиминира голям брой грешки и, разбира се, тук влиза в действие моят леко Unix подход към администрирането, когато е по-лесно да пиша няколко команди, отколкото щракнете върху windows.

Ръчно администриране
Вие и вашите колеги ще трябва да извършите някои административни операции ръчно. За тези цели препоръчвам да използвате mmc конзолата с добавени модули към нея.
Както ще бъде казано по-късно, вашите домейн контролери трябва да работят в режим Server Core, тоест трябва да администрирате цялата AD среда само от вашия компютър, като използвате конзоли. За да администрирате Active Directory, трябва да инсталирате инструменти за отдалечено администриране на сървъра на вашия компютър. Конзолите трябва да се изпълняват на вашия компютър като потребител с администраторски права на Active Directory и делегиран контрол.
Изкуството да управлявате Active Directory с помощта на конзоли изисква отделна статия и може би дори отделно видео за обучение, така че тук говоря само за самия принцип.

Домейн контролери
Във всеки домейн трябва да има поне два контролера. Домейн контролерите трябва да имат възможно най-малко услуги. Не трябва да превръщате домейн контролера във файлов сървър или, не дай си Боже, да го надграждате до ролята на терминален сървър. Използвайте операционни системи на домейн контролери в режим Server Core, като напълно премахнете поддръжката на WoW64; това значително ще намали броя на необходимите актуализации и ще увеличи тяхната сигурност.
По-рано Microsoft не препоръчваше виртуализиране на домейн контролери поради факта, че при възстановяване от моментни снимкиВъзможни са неразрешими конфликти при репликация. Може да е имало и други причини, не мога да кажа със сигурност. Сега хипервайзорите са се научили да казват на контролерите да ги възстановят от моментни снимки и този проблем е изчезнал. Виртуализирах контролери през цялото време, без да правя никакви моментни снимки, защото не разбирам защо може да има нужда да правя такива моментни снимки на домейн контролери. Мисля, че е по-лесно да се направи резервно копиедомейн контролер стандартни средства. Затова препоръчвам виртуализиране на всички домейн контролери, които са възможни. Тази конфигурация ще бъде по-гъвкава. Когато виртуализирате домейн контролери, поставете ги на различни физически хостове.
Ако трябва да поставите домейн контролер в незащитена физическа среда или в клон на вашата организация, използвайте RODC за тази цел.

Роли на FSMO, първичен и вторичен контролер
Ролите на домейн контролер на FSMO продължават да създават страх в съзнанието на новите администратори. Често начинаещите научават Active Directory от остаряла документация или слушат истории от други администратори, които са чели нещо някъде веднъж.
За всичките пет + 1 роли трябва да се каже накратко следното. Започвайки с Windows Server 2008, вече няма основни и вторични домейн контролери. Всичките пет роли на домейн контролер са преносими, но не могат да се намират на повече от един контролер наведнъж. Ако вземем един от контролерите, който например е бил собственик на 4 роли и го изтрием, тогава можем лесно да прехвърлим всички тези роли на други контролери и нищо лошо няма да се случи в домейна, нищо няма да се счупи. Това е възможно, защото собственикът съхранява цялата информация за работата, свързана с определена роля, директно в Active Directory. И ако прехвърлим ролята на друг контролер, тогава той първо се обръща към съхранената информация в Active Directory и започва да изпълнява услугата. Домейнът може да е достатъчен за дълго времесъществуват без собственици на роли. Единствената „роля“, която винаги трябва да бъде в Active Directory и без която всичко ще бъде много лошо, е ролята на глобалния каталог (GC), която може да се носи от всички контролери в домейна. Препоръчвам да присвоите ролята на GC на всеки контролер в домейна, колкото повече са, толкова по-добре. Разбира се, можете да намерите случаи, в които не си струва да инсталирате GC ролята на домейн контролер. Е, ако не ви трябва, тогава недейте. Следвайте препоръките без фанатизъм.

DNS услуга
DNS услугата е критична за работата на Active Directory и трябва да функционира без прекъсване. Обслужване DNS е по-добърпросто инсталирайте на всеки домейн контролер и съхранявайте DNS зонив самата Active Directory. Ако ще използвате Active Directory за съхраняване на DNS зони, тогава трябва да конфигурирате свойствата на TCP/IP връзката на домейн контролери, така че всеки контролер да има всеки друг DNS сървър като основен DNS сървър и можете да настроите вторичния да адресира 127.0. 0,1. Тази настройка трябва да бъде направена, тъй като за нормалното стартиране на услугата Active Directory е необходим работещ DNS, а за да стартира DNS, услугата Active Directory трябва да работи, тъй като самата DNS зона се намира в нея.
Не забравяйте да настроите зони за обратно търсене за всичките си мрежи и да активирате автоматично защитено актуализиране на PTR записите.
Препоръчвам допълнително да активирате автоматично почистване на зони от остарели DNS записи (dns scavenging).
Препоръчвам да посочите защитени сървъри на Yandex като DNS-Forwarders, ако няма други по-бързи във вашето географско местоположение.

Сайтове и репликация
Много администратори са свикнали да мислят, че уебсайтовете са географско групиране на компютри. Например сайтът Москва, сайтът Санкт Петербург. Тази идея възникна поради факта, че първоначалното разделяне на Active Directory на сайтове беше направено с цел балансиране и разделяне на репликационния мрежов трафик. Домейн контролерите в Москва не трябва да знаят, че вече са създадени десет компютърни акаунта в Санкт Петербург. И следователно такава информация за промени може да се предава веднъж на час по график. Или дори копирайте промените веднъж на ден и само през нощта, за да спестите честотна лента.
Бих казал това за уебсайтовете: уебсайтовете са логически групи от компютри. Компютри, които са добре свързани помежду си мрежова връзка. А самите сайтове са свързани помежду си чрез връзка с малък пропускателна способност, което е голяма рядкост в наши дни. Затова разделям Active Directory на сайтове не за балансиране на репликационния трафик, а за балансиране на мрежовото натоварване като цяло и за по-бърза обработка на клиентските заявки от компютрите на сайта. Нека обясня с пример. Има 100-мегабитова локална мрежа на организация, която се обслужва от два домейн контролера, и има облак, където са разположени сървърите на приложения на тази организация с два други облачни контролера. Ще разделя такава мрежа на две площадки, така че контролерите локална мрежаобработвани клиентски заявки от локалната мрежа, а контролерите в облака обработват заявки от сървъри на приложения. Освен това това ще ви позволи да разделите заявките към услугите DFS и Exchange. И тъй като сега рядко виждам интернет канал с по-малко от 10 мегабита в секунда, ще активирам репликацията, базирана на известия, това е, когато репликацията на данни се извършва незабавно, щом настъпят промени в Active Directory.

Заключение
Тази сутрин си мислех защо човешкият егоизъм не се приветства в обществото и някъде на дълбоко ниво на възприятие предизвиква изключително негативни емоции. И единственият отговор, който ми хрумна беше, че човешката раса нямаше да оцелее на тази планета, ако не се беше научила да споделя физически и интелектуални ресурси. Ето защо споделям тази статия с вас и се надявам, че моите препоръки ще ви помогнат да подобрите системите си и ще отделите значително по-малко време за отстраняване на неизправности. Всичко това ще доведе до освобождение Повече ▼време и енергия за творчество. Много по-приятно е да живееш в свят на креативни и свободни хора.
Би било добре, ако е възможно, да споделите вашите знания и практики за изграждане на Active Directory в коментарите.
Мир и добро на всички!

Можете да помогнете и да прехвърлите средства за развитието на сайта

Интелигентност

Windows6.1-KB958830-x64-RefreshPkg.msu

Windows6.1-KB958830-x86-RefreshPkg.msu

Дата на публикуване:

• **Инструментите за отдалечено администриране на сървър за Windows 7 SP1 могат да се инсталират САМО на работещи компютри Windows контрол 7 или издания Windows 7 Service Pack 1 (SP1) Professional, Enterprise и Ultimate.**

  Инструментите за администриране на отдалечен сървър за Windows 7 SP1 позволяват на ИТ администраторите да управляват ролите и функциите, които са инсталирани на отдалечени компютри, работещи под Windows Server 2008 R2 SP1 или Windows Server 2008 R2 (и Windows Server 2008 или Windows Server 2003 за някои роли и функции), с отдалечен компютърработи с Windows 7 или Windows 7 Service Pack 1 (SP1). Тези инструменти осигуряват поддръжка дистанционнокомпютри с операционни системи Windows системи Server 2008 R2 SP1, Windows Server 2008 R2 и Windows Server 2008 (за някои роли и функции), когато инсталирате Server Core или когато пълна инсталациятези операционна система. Можете да използвате инструментите за отдалечено администриране на сървъра за Windows 7 Service Pack 1 (SP1), за да управлявате дистанционно избрани роли и функции на Windows Server 2003, въпреки че няма опция за инсталиране на Server Core за тази операционна система.

  от функционалносттази функция е сравнима с инструментите за администриране за Windows Server 2003 и инструментите за администриране на отдалечен сървър за Windows Vista SP1.

Системни изисквания

Поддържана операционна система

Windows 7; Windows 7 Service Pack 1

• Инструментите за отдалечено администриране на сървъра за Windows 7 SP1 могат да бъдат инсталирани на компютри, работещи под Windows 7 или издания Windows 7 SP1 Professional, Enterprise и Ultimate. дадени софтуерможе да се инсталира САМОна компютри, работещи под Windows 7 или Windows 7 Service Pack 1 (SP1) Professional, Enterprise и Ultimate издания; не може да се инсталира на целеви сървъри, които планирате да управлявате.

  От тази страница можете да изтеглите 32-битови и 64-битови версии на инструментите за администриране на отдалечен сървър за Windows 7 SP1. Изтеглете и инсталирайте версията, която съответства на архитектурата на компютъра, на който планирате да инсталирате инструментите за администриране. Потребителите, които не знаят коя архитектура се използва на компютъра им - x86 или x64, трябва да се обърнат към раздела.

  Можете да използвате Инструменти за отдалечено администриране на сървър за Windows 7 SP1, за да управлявате ролите и функциите, които се изпълняват по време на инсталация на Server Core или пълна инсталация на 64-битов Windows Server 2008 R2 SP1 или операционна система Windows Server 2008 R2. Отдалеченото управление също се поддържа за някои роли и функции, които работят на Windows Server 2008 или Windows Server 2003.

  Инструментите за отдалечено администриране на сървъра за Windows 7 Service Pack 1 (SP1) не трябва да се инсталират на компютър, на който се изпълняват инструменти за администриране на Windows Server 2003 или инструменти за администриране на Windows 2000 Server®. Преди да инсталирате инструменти за администриране на отдалечен сървър за Windows 7 Service Pack 1 (SP1), деинсталирайте всички версии на пакета с инструменти за администриране или инструментите за администриране на отдалечен сървър от вашия компютър.

  Само едно копие на инструментите за отдалечено администриране на сървър за Windows 7 SP1 може да бъде инсталирано на компютър. Преди да инсталирате новия пакет, трябва да премахнете всички съществуващи копия на инструментите за администриране на отдалечен сървър за Windows 7 SP1. Това включва и копия на различни езици.

  За подробности относно инструментите за администриране на отдалечен сървър за Windows 7 SP1 и поддържаните операционни системи, на които можете да използвате инструментите, вижте.

инструкции за инсталация

• • Инсталиране на инструменти за отдалечено администриране на сървър за Windows 7 SP1

    Администраторина компютъра, на който искате да инсталирате пакета с административни инструменти, или влезте в компютъра, като използвате вградения акаунт Администратор.

    внимание!Преди да инсталирате инструменти за администриране на отдалечен сървър за Windows 7 Service Pack 1 (SP1), деинсталирайте всички версии на пакета с инструменти за администриране или инструментите за администриране на отдалечен сървър от вашия компютър.

    внимание!Само едно копие на инструментите за отдалечено администриране на сървър за Windows 7 SP1 може да бъде инсталирано на компютър. Преди да инсталирате новия пакет, трябва да премахнете всички съществуващи копия на инструментите за администриране на отдалечен сървър за Windows 7 SP1. Това включва и копия на различни езици. За инструкции за деинсталиране на съществуващи екземпляри на инструменти за администриране на отдалечен сървър за Windows 7 SP1 вижте на тази страница.

    1. Изтеглете инструментите за администриране на отдалечен сървър за Windows 7 SP1 на компютър с Windows 7 или Windows 7 SP1 от центъра на Microsoft за изтегляния.

    2. Отворете папката, в която сте изтеглили пакета, щракнете двукратно върху нея, за да я извлечете, и стартирайте инструментите за администриране на отдалечен сървър за съветника за инсталиране на Windows 7 SP1.

    . внимание!За да започнете да инсталирате пакета с инструменти за администриране, трябва да приемете условията на лиценза и ограничената гаранция.

    3. Следвайте всички инструкции на съветника и щракнете върху бутона Готовза да завърши работата си след приключване на инсталацията.

    4. Натиснете бутона Започнете, Избери предмет Контролен панели щракнете Програми.

    5. В района Програми и компонентиизберете опция.

    6. Ако прозорецът за контрол на потребителските акаунти поиска разрешение за отваряне на " Компоненти на Windows", Натисни бутона продължи.

    7. В диалоговия прозорец Компоненти на Windowsразширете елемента.

    8. Изберете инструментите за дистанционно управление, които искате да инсталирате.

    9. Натиснете бутона Добре.

    10. Персонализирайте менюто си Започнететака че прекият път да се показва в него Администрация(при негово отсъствие):

    Щракнете върху бутона Започнетещракнете с десния бутон и изберете команда Имоти;

    В раздела Старт менющракнете върху бутона Настройте;

    В диалоговия прозорец Персонализиране на менюто "Старт".превъртете списъка до елемента Администрацияи поставете отметка в квадратчето Показване във всички програми и менюта "Старт".. Щракнете върху бутона Добре. Към списъка се добавят преки пътища към модули, инсталирани от инструментите за администриране на отдалечен сървър за Windows 7 SP1 Администрацияменю Започнете.

    Преинсталиране или деинсталиране на отделни инструменти за администриране на отдалечен сървър за Windows 7 SP1

    Ако сте премахнали инструмента за отдалечено администриране от компютър, работещ под Windows 7 или Windows 7 Service Pack 1 (SP1), можете да го инсталирате отново, като следвате стъпките по-долу.

    Преинсталиране на отделни инструменти за отдалечено администриране

    1. Щракнете върху бутона Започнете, Избери предмет Контролен панели щракнете Програми.

    2. В района Програми и компонентиизберете опция Включване или изключване на функции на Уиндоус.

    3. Ако прозорецът за контрол на потребителските акаунти поиска разрешение за отваряне на диалогов прозорец Компоненти на Windows, Натисни бутона продължи.

    4. В диалоговия прозорец Компоненти на Windowsразширете елемента Инструменти за отдалечено администриране на сървър.

    5. Изберете инструментите за дистанционно управление, които искате да инсталирате, или изчистете отметките от квадратчетата за инструментите, които искате да премахнете. Щракнете върху бутона Добре.

    Пълно премахване на инструментите за администриране на отдалечен сървър за Windows 7 SP1

    Трябва да е член на групата Администраторина компютъра, от който искате да премахнете пакета с инструменти за администриране, или влезте в компютъра, като използвате вградения акаунт Администратор.

    Можете да премахнете целия пакет с административни инструменти от вашия компютър, като използвате помощна програма Деинсталиране на програмав контролния панел.

    Деинсталиране на пакета с инструменти за администриране

    1. Щракнете върху бутона Започнете, Избери предмет Контролен панел, а след това в района Програмищракнете елемент Деинсталиране на програма.

    2. Щракнете върху елемента Вижте инсталираните актуализации.

    3. Изберете елемент Актуализация за Microsoft Windows (958830) .

    4. Натиснете бутона Изтрий.

Active Directory - директорийната услуга на Microsoft за ОС Семейство WindowsН.Т.

Тази услуга позволява на администраторите да използват групови правила, за да осигурят еднаквост на настройките на потребителската работна среда, софтуерни инсталации, актуализации и т.н.

Каква е същността на Active Directory и какви проблеми решава? Прочетете.

Принципи на организиране на peer-to-peer и multi-peer мрежи

Но възниква друг проблем, какво ще стане, ако user2 на PC2 реши да промени паролата си? След това, ако user1 промени паролата на акаунта, user2 на PC1 няма да може да получи достъп до ресурса.

Друг пример: имаме 20 работни станции с 20 акаунта, на които искаме да предоставим достъп до определен , за това трябва да създадем 20 акаунта на файлов сървъри предоставяне на достъп до необходимия ресурс.

Ами ако не са 20, а 200?

Както разбирате, мрежовата администрация с този подход се превръща в абсолютен ад.

Следователно подходът на работната група е подходящ за малки офис мрежи с не повече от 10 компютъра.

Ако в мрежата има повече от 10 работни станции, подходът, при който на един мрежов възел се делегират правата за извършване на удостоверяване и оторизация, става рационално оправдан.

Този възел е домейн контролерът - Active Directory.

Домейн контролер

Контролерът съхранява база данни от сметки, т.е. той съхранява акаунти както за PC1, така и за PC2.

Сега всички акаунти се регистрират веднъж на контролера и нуждата от локални акаунти става безсмислена.

Сега, когато потребител влезе в компютър, като въведе своето потребителско име и парола, тези данни се предават в лична форма на домейн контролера, който извършва процедури за удостоверяване и оторизация.

След това контролерът издава на влезлия потребител нещо като паспорт, с който впоследствие работи в мрежата и който представя при поискване от други мрежови компютри, сървъри, към чиито ресурси иска да се свърже.

важно! Домейн контролерът е компютър, работещ с Active Directory, който контролира достъпа на потребителите до мрежовите ресурси. Той съхранява ресурси (напр. принтери, папки с споделен достъп), услуги (напр. имейл), хора (акаунти на потребители и потребителски групи), компютри (акаунти на компютри).

Броят на такива съхранявани ресурси може да достигне милиони обекти.

Следните версии на MS Windows могат да действат като домейн контролер: Windows Server 2000/2003/2008/2012 с изключение на Web-Edition.

Домейн контролерът, освен център за удостоверяване на мрежата, е и контролен център за всички компютри.

Веднага след включване компютърът започва да се свързва с домейн контролера, много преди да се появи прозорецът за удостоверяване.

По този начин се удостоверява не само потребителят, който въвежда данните за вход и паролата, но и клиентският компютър.

Инсталиране на Active Directory

Нека да разгледаме пример за инсталиране на Active Directory на Windows Server 2008 R2. И така, за да инсталирате ролята на Active Directory, отидете на „Server Manager“:

Добавете ролята „Добавяне на роли“:

Изберете ролята на Active Directory Domain Services:

И да започнем инсталацията:

След което получаваме прозорец с известия за инсталираната роля:

След като инсталираме ролята на домейн контролера, нека да продължим към инсталирането на самия контролер.

Щракнете върху „Старт“ в полето за търсене на програма, въведете името на съветника DCPromo, стартирайте го и поставете отметка в квадратчето за разширени настройки за инсталиране:

Щракнете върху „Напред“ и изберете да създадете нов домейн и гора от предложените опции.

Въведете името на домейна, например example.net.

Пишем NetBIOS име на домейн, без зона:

Изберете функционалното ниво на нашия домейн:

Поради особеностите на функциониране на домейн контролера инсталираме и DNS сървър.

Местоположението на базата данни, регистрационния файл и системния том остават непроменени:

Въведете администраторската парола на домейна:

Проверяваме правилността на попълването и ако всичко е наред, щракнете върху „Напред“.

След това ще започне процесът на инсталиране, в края на който ще се появи прозорец, който ви информира, че инсталацията е успешна:

Въведение в Active Directory

Докладът обсъжда два вида компютърни мрежи, които могат да бъдат създадени с помощта на операционни системи системи на Microsoft: работна група(работна група) и домейн на Active Directory.

Active Directory предоставя услуги за управление на системи. Те са много по-добра алтернатива на местните групи и ви позволяват да създавате компютърни мрежис ефективно управлениеи надеждна защита на данните.

Ако досега не сте срещали концепцията за Active Directory и не знаете как работят подобни услуги, тази статия е за вас. Нека да разберем какво означава тази концепция, какви са предимствата на такива бази данни и как да ги създадете и конфигурирате за първоначална употреба.

Active Directory е много удобен начинуправление на системата. С помощта на Active Directory можете ефективно да управлявате вашите данни.

Тези услуги ви позволяват да създадете единна база данни, управлявана от домейн контролери. Ако имате бизнес, управлявате офис или като цяло контролирате дейността на много хора, които трябва да бъдат обединени, такъв домейн ще ви бъде полезен.

Включва всички обекти - компютри, принтери, факсове, потребителски акаунти и др. Сумата от домейни, в които се намират данните, се нарича „гора“. Базата данни на Active Directory е домейн среда, където броят на обектите може да бъде до 2 милиарда. Можете ли да си представите тези везни?

Тоест с помощта на такава „гора“ или база данни можете да свържете голям брой служители и оборудване в офис и без да сте обвързани с местоположение - други потребители също могат да бъдат свързани в услугите, напр. от офис на фирмата в друг град.

Освен това в рамките на услугите на Active Directory се създават и комбинират няколко домейна - колкото по-голяма е компанията, толкова повече инструменти са необходими за контрол на нейното оборудване в базата данни.

Освен това, когато се създаде такава мрежа, се определя един контролиращ домейн и дори при последващо присъствие на други домейни, оригиналният все още остава „родител“ - тоест само той има пълен достъп до управление на информацията.

Къде се съхраняват тези данни и какво гарантира съществуването на домейни? За създаване на Active Directory се използват контролери. Обикновено те са два - ако нещо се случи с единия, информацията ще бъде запазена на втория контролер.

Друг вариант за използване на базата данни е, ако например вашата фирма си сътрудничи с друга и трябва да изпълните общ проект. В този случай неупълномощени лица може да се нуждаят от достъп до файловете на домейна и тук можете да настроите нещо като „връзка“ между две различни „гори“, позволявайки достъп до необходимата информация, без да рискувате сигурността на останалите данни.

Като цяло Active Directory е инструмент за създаване на база данни в рамките на определена структура, независимо от нейния размер. Потребителите и цялото оборудване са обединени в една „гора“, създават се домейни и се поставят на контролери.

Също така е препоръчително да се изясни, че услугите могат да работят само на устройства с сървърни системи Windows. Освен това на контролерите се създават 3-4 бр DNS сървър. Те обслужват основната зона на домейна и ако някой от тях откаже, други сървъри го заместват.

След кратко Активен преглед Directory for dummies, естествено се интересувате от въпроса - защо да променяте локална група за цяла база данни? Естествено, полето от възможности тук е многократно по-широко и за да разберете други разлики между тези услуги за управление на системата, нека разгледаме по-отблизо техните предимства.

Предимства на Active Directory

Предимствата на Active Directory са:

1. Използване на един единствен ресурс за удостоверяване. В тази ситуация трябва да добавите на всеки компютър всички акаунти, които изискват достъп до обща информация. Колкото повече потребители и оборудване има, толкова по-трудно е да се синхронизират тези данни между тях.

И така, когато използвате услуги с база данни, акаунтите се съхраняват в една точка и промените влизат в сила веднага на всички компютри.

Как работи? Всеки служител, идвайки в офиса, стартира системата и влиза в своя акаунт. Заявката за влизане ще бъде изпратена автоматично до сървъра и чрез нея ще се извърши удостоверяване.

Що се отнася до определен ред при водене на записи, винаги можете да разделите потребителите на групи - „Човешки отдел“ или „Счетоводство“.

В този случай е още по-лесно да осигурите достъп до информация - ако трябва да отворите папка за служители от един отдел, това се прави през базата данни. Заедно те получават достъп до необходимата папка с данни, докато за други документите остават затворени.

1. Контрол върху всеки участник в базата данни.

Ако в локална група всеки член е независим и трудно се контролира от друг компютър, тогава в домейни можете да зададете определени правила, които са в съответствие с фирмената политика.

Как си Системен администраторможете да зададете настройки за достъп и настройки за сигурност и след това да ги приложите към всяка потребителска група. Естествено, в зависимост от йерархията, някои групи могат да получат по-строги настройки, докато други могат да получат достъп до други файлове и действия в системата.

Освен това, когато нов човек се присъедини към компанията, неговият компютър веднага ще получи необходимия набор от настройки, който включва компоненти за работа.

1. Гъвкавост при инсталиране на софтуер.

Между другото, за компонентите - кога Помощ АктивенДиректория, можете да зададете принтери, да инсталирате необходимите програми за всички служители наведнъж и да зададете настройки за поверителност. Като цяло създаването на база данни значително ще оптимизира работата, ще следи сигурността и ще обедини потребителите за максимална ефективност на работата.

И ако една компания управлява отделна помощна програма или специални услуги, те могат да бъдат синхронизирани с домейни и опростен достъп до тях. как? Ако комбинирате всички продукти, използвани в компанията, служителят няма да трябва да въвежда различни потребителски имена и пароли, за да влезе във всяка програма - тази информация ще бъде обща.

Сега, когато предимствата и значението на използването на Active Directory станаха ясни, нека да разгледаме процеса на инсталиране на тези услуги.

Ние използваме база данни на Windows Server 2012

Инсталирането и конфигурирането на Active Directory не е трудна задача и е по-лесно, отколкото изглежда на пръв поглед.

За да заредите услуги, първо трябва да направите следното:

1. Променете името на компютъра: щракнете върху „Старт“, отворете контролния панел, изберете „Система“. Изберете „Промяна на настройките“ и в „Свойства“, срещу реда „Име на компютър“, щракнете върху „Промяна“, въведете нова стойност за основния компютър.
2. Рестартирайте вашия компютър, както е необходимо.
3. Задайте мрежовите настройки по следния начин:
   • През контролния панел отворете менюто с мрежи и споделяне.
   • Регулирайте настройките на адаптера. Щракнете с десния бутон върху „Свойства“ и отворете раздела „Мрежа“.
   • В прозореца от списъка щракнете върху Интернет протокол номер 4, отново щракнете върху „Свойства“.
   • Въведете необходимите настройки, например: IP адрес - 192.168.10.252, подмрежова маска - 255.255.255.0, главен шлюз - 192.168.10.1.
   • В реда „Предпочитан DNS сървър“ въведете адреса локален сървър, в “Алтернатива...” - други адреси на DNS сървъри.
   • Запазете промените и затворете прозорците.

Настройте роли в Active Directory по следния начин:

1. Чрез Start отворете Server Manager.
2. От менюто изберете Добавяне на роли и функции.
3. Помощникът ще се стартира, но можете да пропуснете първия прозорец с описание.
4. Поставете отметка в реда „Инсталиране на роли и компоненти“, продължете напред.
5. Изберете вашия компютър, за да инсталирате Active Directory на него.
6. От списъка изберете ролята, която трябва да се зареди - във вашия случай това е „Active Directory Domain Services“.
7. Ще се появи малък прозорец с молба да изтеглите компонентите, необходими за услугите - приемете го.
8. След това ще бъдете подканени да инсталирате други компоненти - ако не ви трябват, просто пропуснете тази стъпка, като щракнете върху „Напред“.
9. Помощникът за настройка ще покаже прозорец с описания на услугите, които инсталирате - прочетете и продължете нататък.
10. Ще се появи списък с компоненти, които ще инсталираме - проверете дали всичко е правилно и ако е така, натиснете съответния бутон.
11. Когато процесът приключи, затворете прозореца.
12. Това е всичко - услугите се изтеглят на вашия компютър.

Настройка на Active Directory

За да конфигурирате услуга за домейн, трябва да направите следното:

• Стартирайте съветника за настройка със същото име.
• Кликнете върху жълтия показалец в горната част на прозореца и изберете „Повишаване на сървъра до домейн контролер“.
• Кликнете върху добавяне на нова гора и създайте име за основния домейн, след което щракнете върху Напред.
• Посочете режимите на работа на „гората“ и домейна - най-често те съвпадат.
• Създайте парола, но не забравяйте да я запомните. Продължете по-нататък.
• След това може да видите предупреждение, че домейнът не е делегиран и подкана да проверите името на домейна - можете да пропуснете тези стъпки.
• В следващия прозорец можете да промените пътя до директориите на базата данни - направете това, ако не ви подхождат.
• Сега ще видите всички опции, които ще зададете - проверете дали сте ги избрали правилно и продължете напред.
• Приложението ще провери дали са изпълнени предпоставките и ако няма коментари или не са критични, щракнете върху „Инсталиране“.
• След като инсталацията приключи, компютърът ще се рестартира сам.

Може също да се чудите как да добавите потребител към базата данни. За да направите това, използвайте менюто „Потребители или компютри на Active Directory“, което ще намерите в секцията „Администриране“ в контролния панел, или използвайте менюто с настройки на базата данни.

За да добавите нов потребител, щракнете с десния бутон върху името на домейна, изберете „Създаване“, след това „Разделение“. Пред вас ще се появи прозорец, в който трябва да въведете името на новия отдел - той служи като папка, в която можете да събирате потребители от различни отдели. По същия начин по-късно ще създадете още няколко отдела и ще поставите правилно всички служители.

След това, когато сте създали име на отдел, щракнете с десния бутон върху него и изберете „Създаване“, след това „Потребител“. Сега остава само да въведете необходимите данни и да зададете настройките за достъп за потребителя.

Кога нов профилще бъде създаден, щракнете върху него, като изберете контекстно менюи отворете Свойства. В раздела „Акаунт“ премахнете отметката от квадратчето до „Блокиране...“. Това е всичко.

Общото заключение е, че Active Directory е мощен и полезен инструментза управление на системата, което ще помогне за обединяването на всички компютри на служителите в един екип. Използвайки услугите, можете да създадете защитена база данни и значително да оптимизирате работата и синхронизирането на информацията между всички потребители. Ако вашата компания или друго място на дейност е свързано с електронни компютри и мрежи, трябва да консолидирате акаунти и да наблюдавате работата и поверителността, инсталирането на базирана на Active Directory база данни ще бъде отлично решение.

Добър ден на всички, продължаваме уроците по системна администрация. Нека продължим днес, за да разберем основните обекти на Active Directory. След като разбрахме планирането на Active Directory, първото нещо, което трябва да създадем, е структура на организационна единица (OU). Това се прави, за да може системният администратор да делегира права на отделни групи от обекти, обединени по определени критерии, и да прилага групови политики по същите причини. Ако си организирате удобна йерархия, тогава ще имате всичко в AD точно като хак, което ще ви спести много време.

Ще създам в моя AD структура като тази:

• Най-отгоре е ОУ по териториална принадлежност. В моя случай това са градове
• Тогава това са OU сървъри, потребители и компютри
• След това, ако е необходимо, можете да го разделите на етажи, отдели и всичко останало, което ви хрумне.

Е, нека всъщност започнем. Отворете Start-Administration-ADUC

Въведете името на OU, в моя случай City. След това по подобен начин създаваме необходимия брой OU в йерархията, от която се нуждаете.

За мен това изглежда така. Има няколко града, които съдържат допълнителни организационни единици:

• Потребители
• Мейлинг групи
• Групи
• Системни акаунти
• Сървъри
• Компютри

Ако внезапно сте създали допълнително OU или сте на грешното място, можете да опитате да го изтриете или преместите; това може да стане, като щракнете с десния бутон върху изтриване или използвате кръста отгоре. Но ще видите, че OU е защитен от изтриване.

Няма достатъчно права за изтриване на организационна единица или обектът е защитен от случайно изтриване

За да поправите това и да имате ред във вашата Active Directory, отидете в менюто „Преглед-Допълнителни компоненти“.

Сега щракнете с десния бутон върху желания OU и изберете свойства.

Нека отидем в раздела "Обект" и да видим това квадратче за отметка, което защитава OU. След като го премахнете, можете да извършвате манипулации, съвет как да направите това, което трябва да направите, е да върнете отметката обратно.

Както можете да видите, Microsoft направи процеса на създаване на обекти в Active Directory много тривиален, тъй като системният администратор просто делегира много неща, например на отдела по човешки ресурси, който създава акаунти. Ако имате въпроси, напишете ги в коментарите, ще се радвам да разговаряме.