Що таке актив директорії. Найкращі практики Active Directory. Керування груповою політикою та Active Directory


Домен – це основна адміністративна одиниця у мережній інфраструктурі підприємства, до якої входять усі мережеві об'єкти, такі як користувачі, комп'ютери, принтери, загальні ресурси тощо. Сукупність (ієрархія) доменів називається лісом. Кожна компанія може мати зовнішній і внутрішній домен.

Наприклад, сайт – зовнішній домен у мережі Інтернет, який був придбаний у реєстратора імен. У цьому домені розміщено наш WEB-сайт та поштовий сервер. lankey.local – внутрішній домен служби каталогів Active Directory, в якому розміщуються облікові записи користувачів, комп'ютерів, принтерів, серверів та корпоративних програм. Іноді зовнішні та внутрішні доменні імена роблять однаковими.

Microsoft Active Directory стала стандартом систем єдиного каталогу підприємства. Домен на базі Active Directory впроваджений практично у всіх компаніях світу, і на цьому ринку у Microsoft практично не залишилося конкурентів, частка того ж Novell Directory Service (NDS) зневажливо мала, та й компанії, що залишилися, поступово мігрують на Active Directory.

Active Directory (Служба каталогів) є розподіленою базою даних, яка містить усі об'єкти домену. Доменне середовище Active Directory є єдиною точкою автентифікації та авторизації користувачів та додатків у масштабах підприємства. Саме з організації домену та розгортання Active Directory починається побудова ІТ-інфраструктури підприємства. База даних Active Directory зберігається на виділених серверах – контролерах домену. Служба Active Directory є роллю серверних операційних систем Microsoft Windows Server. На даний момент компанія ЛанКей здійснює впровадження доменів Active Directory на базі операційної системи Windows Server 2008 R2.

Розгортання служби каталогів Active Directory у порівнянні з робочою групою (Workgroup) дає такі переваги:

  • Єдина точка автентифікації. Коли комп'ютери працюють у робочій групіУ них немає єдиної бази даних користувачів, у кожного комп'ютера вона своя. Тому за промовчанням жоден з користувачів не має доступу до мережі до комп'ютера іншого користувача або сервера. А, як відомо, сенс мережі якраз у тому, щоб користувачі могли взаємодіяти. Співробітникам потрібно спільний доступдо документів чи додатків. У робочій групі на кожному комп'ютері чи сервері доведеться вручну додавати повний список користувачів, яким потрібно мережевий доступ. Якщо раптом, один із співробітників захоче змінити свій пароль, його потрібно буде поміняти на всіх комп'ютерах і серверах. Добре, якщо мережа складається з 10 комп'ютерів, але якщо їх 100 або 1000, використання робочої групи буде неприйнятним. При використанні домену Active Directory всі облікові записи користувачів зберігаються в одній базі даних, і всі комп'ютери звертаються до неї за авторизацією. Усі користувачі домену включаються до відповідних груп, наприклад, «Бухгалтерія», «Кадри», «Фінансовий відділ» тощо. Достатньо один раз задати дозволи для тих чи інших груп, і всі користувачі отримають відповідний доступ до документів та додатків. Якщо в компанію приходить новий співробітник, для нього створюється обліковий запис, який включається до відповідної групи, і все! Через кілька хвилин новий співробітник отримує доступ до всіх ресурсів мережі, до яких йому повинен бути дозволений доступ, на всіх серверах та комп'ютерах. Якщо співробітник звільняється, достатньо заблокувати або видалити його обліковий запис, і він відразу втратить доступ до всіх комп'ютерів, документів і додатків.
  • Єдина точка управління політиками. У одноранговій мережі (робочій групі) всі комп'ютери є рівноправними. Жоден з комп'ютерів не може керувати іншим, всі комп'ютери налаштовані по-різному, неможливо проконтролювати дотримання єдиних політик, ні правил безпеки. При використанні єдиного каталогу Active Directory всі користувачі та комп'ютери ієрархічно розподіляються по організаційним підрозділам, до кожного з яких застосовуються єдині групові політики. Політики дають змогу встановити єдині параметри та параметри безпеки для групи комп'ютерів та користувачів. При додаванні до домену нового комп'ютера або користувача він автоматично отримує настройки, що відповідають прийнятим корпоративним стандартам. Також за допомогою політик можна централізовано призначити користувачам принтери, встановити необхідні програми, встановити параметри безпеки Інтернет-браузера, налаштувати програми Microsoft Officeі т.д.
  • Інтеграції з корпоративними програмами та обладнанням. Великою перевагою Active Directory є відповідність стандарту LDAP, який підтримується сотнями програм, такими як поштові сервери (Exchange, Lotus, Mdaemon), ERP-системи (Dynamics, CRM), проксі-сервери (ISA Server, Squid) та ін. лише програми під Microsoft Windows, а й сервери з урахуванням Linux. Переваги такої інтеграції полягає в тому, що користувачу не потрібно пам'ятати велику кількість логінів та паролів для доступу до того чи іншого додатку, у всіх додатках користувач має одні й ті самі облікові дані, т.к. його автентифікація відбувається у єдиному каталозі Active Directory. Крім того, співробітнику не потрібно по кілька разів вводити свій логін і пароль, достатньо при запуску комп'ютера один раз увійти в систему, і надалі користувач автоматично автентифікуватиметься у всіх додатках. Windows Server для інтеграції з Active Directory надає протокол RADIUS, який підтримується великою кількістю мережного обладнання. Таким чином, можна, наприклад, забезпечити аутентифікацію доменних користувачів при підключенні до маршрутизатору CISCOза VPN.
  • Єдине сховище конфігурації програм. Деякі програми зберігають конфігурацію в Active Directory, наприклад Exchange Server або Office Communications Server. Розгортання служби каталогів Active Directory є обов'язковою умовоюдо роботи цих додатків. Також у службі каталогів можна зберігати конфігурацію сервера доменних імен DNS. Зберігання конфігурації програм у службі каталогів є вигідним з точки зору гнучкості та надійності. Наприклад, у випадку повної відмовисервера Exchange, його конфігурація залишиться недоторканою, т.к. зберігається у Active Directory. І для відновлення працездатності корпоративної пошти достатньо буде перевстановити Exchange сервер у режимі відновлення.
  • Підвищений рівень інформаційної безпеки. Використання Active Directory значно підвищує рівень безпеки мережі. По-перше – це єдине та захищене сховище облікових записів. В одноранговій мережі облікові дані користувачів зберігаються у локальній базі даних облікових записів (SAM), яку теоретично можна зламати, заволодівши комп'ютером. У доменному середовищі усі паролі доменних користувачівзберігаються на виділених серверах контролерах домену, які, як правило, захищені від зовнішнього доступу. По-друге, при використанні доменного середовища для аутентифікації використовується протокол Kerberos, який значно безпечніший, ніж NTLM, що використовується в робочих групах. Крім того, для входу користувачів до системи можна використовувати двофакторну автентифікаціюза допомогою смарт-карток. Тобто. щоб співробітник отримав доступ до комп'ютера, йому потрібно буде ввести свій логін та пароль, а також вставити свою смарт-картку.

Масштабованість та відмовостійкість служби каталогів Active Directory

Служба каталогів Microsoft Active Directory має широкі можливості масштабування. У лісі Active Directory може бути створено понад 2 мільярди об'єктів, що дозволяє впроваджувати службу каталогів у компаніях із сотнями тисяч комп'ютерів та користувачів. Ієрархічна структурадоменів дозволяє гнучко масштабувати ІТ-інфраструктуру на всі філії та регіональні підрозділи компаній. Для кожної філії або підрозділу компанії може бути створений окремий домен зі своїми політиками, своїми користувачами та групами. До кожного дочірнього домену можуть бути делеговані адміністративні повноваження місцевим системним адміністраторам. При цьому дочірні домени підпорядковуються батьківським.

Крім того, Active Directory дозволяє налаштувати довірчі відносиниміж доменними лісами. Кожна компанія має власний ліс доменів, кожен із яких має власні ресурси. Але іноді буває потрібно надати доступ до своїх корпоративним ресурсамспівробітникам із компаній-партнерів. Наприклад, за участю в спільних проектахспівробітникам з компаній партнером може спільно знадобитися працювати з загальними документамиабо додатками. Для цього між лісами організацій можна налаштувати довірчі стосунки, що дозволить співробітникам з однієї організації авторизуватись у домені іншої.

Відмовостійкість служби каталогів забезпечується шляхом розгортання 2-х і більше серверів - контролерів домену в кожному домені. Між контролерами домену забезпечується автоматична реплікація всіх змін. Що стосується виходу з ладу однієї з контролерів домену, працездатність мережі порушується, т.к. продовжують працювати ті, що залишилися. Додатковий рівень стійкості до відмови забезпечує розміщення серверів DNS на контролерах домену в Active Directory, що дозволяє в кожному домені отримати кілька серверів DNS, що обслуговують основну зону домену. І в разі відмови одного з DNS серверів, продовжать працювати, що залишилися, причому вони будуть доступні, як на читання, так і на запис, що не можна забезпечити, використовуючи, наприклад, DNS сервера BINDз урахуванням Linux.

Переваги Windows Server 2008 R2

Навіть якщо у вашій компанії вже розгорнуто службу каталогів Active Directory на базі Windows Server 2003, то ви можете отримати низку переваг, перейшовши на Windows Server 2008 R2. Windows Server 2008 R2 надає такі додаткові можливості:

    Контролер домену лише для читання RODC (Read-only Domain Controller). Контролери домену зберігають облікові записи користувачів, сертифікати та багато іншого конфіденційної інформації. Якщо сервери розташовані в захищених ЦОД-ах, то про збереження цієї інформації можна бути спокійним, але що робити, якщо котролер домену стоїть у філії в загальнодоступному місці. В даному випадку існує можливість, що сервер вкрадуть зловмисники і зламають його. А потім використовують ці дані для організації атаки на вашу корпоративну мережуз метою крадіжки або знищення інформації. Саме для запобігання таким випадкам у філіях встановлюють контролери домену тільки для читання (RODC). По-перше, RODC-контролери не зберігають паролі користувачів, а лише кешують їх для прискорення доступу, а по-друге вони використовують односторонню реплікацію, тільки з центральних серверіву філію, але не назад. І навіть якщо зловмисники заволодіють RODC контролером домену, то вони не отримають паролі користувачів і не зможуть завдати шкоди основній мережі.

    Відновлення видалених об'єктів Active Directory. Майже кожен системний адміністратор стикався з необхідністю відновити випадково віддалений обліковий запис користувача або цілої групи користувачів. У Windows 2003 для цього потрібно відновлювати службу каталогів з резервної копії, Якої часто не було, але навіть якщо вона і була, то відновлення займало досить багато часу. У Windows Server 2008 R2 з'явився кошик Active Directory. Тепер при видаленні користувача або комп'ютера він потрапляє в кошик, з якого він може бути відновлений за пару хвилин протягом 180 днів зі збереженням всіх початкових атрибутів.

    Спрощене керування. У Windows Server 2008 R2 було внесено низку змін, які значно скорочують навантаження на системних адміністраторів і полегшують управління ІТ-інфраструктурою. Наприклад, з'явилися такі засоби, як: Аудит змін Active Directory, що показує, хто, що і коли змінював; політики складності паролів, що налаштовуються на рівні груп користувачів, раніше це було можливо зробити тільки на рівні домену; нові засоби управління користувачами та комп'ютерами; шаблони політик; управління за допомогою командної рядки PowerShellі т.д.

Використання служби каталогів Active Directory

Служба каталогів Active Directory є серцем ІТ-інфраструктури підприємства. У разі її відмови вся мережа, всі сервери, робота всіх користувачів будуть паралізовані. Ніхто не зможе увійти в комп'ютер, отримати доступ до своїх документів та програм. Тому служба каталогів має бути ретельно спроектована та розгорнута, з урахуванням усіх можливих нюансів. Наприклад, структура сайтів має будуватися на основі фізичної топології мережі та пропускну здатністьканалів між філіями чи офісами компанії, т.к. від цього залежить швидкість входу користувачів у систему, і навіть реплікація між контролерами домену. Крім того, на основі топології сайтів Exchange Server 2007/2010 здійснює маршрутизацію пошти. Також потрібно правильно розрахувати кількість та розміщення серверів глобального каталогу, які зберігають списки універсальних груп, та безліч інших часто використовуваних атрибутів усіх доменів лісу. Саме тому компанії покладають завдання щодо впровадження, реорганізації чи міграції служби каталогів Active Directory на системних інтеграторів. Тим не менш, потрібно не помилитися при виборі системного інтегратора, слід переконатися, що він сертифікований на виконання даного виду робіт та має відповідні компетенції.

Компанія ЛанКей є сертифікованим системним інтегратором і має статус Microsoft Gold Certified Partner. ЛанКей має компетенцію Datacenter Platform (Advanced Infrastructure Solutions), що підтверджує наш досвід та кваліфікацію у питаннях, пов'язаних з розгортанням Active Directory та впровадженням серверних рішень. компанії Microsoft.


Всі роботи в проектах виконують сертифіковані Microsoft інженери MCSE, MCITP, які мають багатий досвід участі у великих та складних проектах з побудови ІТ-інфраструктур та впровадження доменів Active Directory.

Компанія ЛанКей розробить ІТ-інфраструктуру, розгорне службу каталогів Active Directory та забезпечить консолідацію всіх наявних ресурсів підприємства в єдине інформаційний простір. Впровадження Active Directory допоможе зменшити сукупну вартість володіння інформаційною системою, а також підвищити ефективність спільного використання спільних ресурсів. ЛанКей також надає послуги з міграції доменів, об'єднання та поділу ІТ-інфраструктур при злиття та поглинання, обслуговування та підтримки інформаційних систем.

Приклади деяких проектів із впровадження Active Directory, реалізованих компанією ЛанКей:

Замовник Опис рішення

У зв'язку із вчиненням угоди з купівлі 100% акцій компанії ВАТ «СІБУР-Міндобрива» (згодом перейменований на ВАТ "СДС-Азот") Холдингової компаній "Сибірський діловий союз" у грудні 2011 року, виникла потреба у відділенні ІТ-інфраструктури ВАТ «СДС -Азот» від мережі Холдингу СІБУР.

Команія ЛанКей здійснила міграцію служби каталогів Active Directory підрозділу СІБУР-Міндобрива з мережі холдингу СІБУР до нової інфраструктури. Також були перенесені облікові записи користувачів, комп'ютери та програми. За результатами проекту від замовника отримано лист подяки.
У зв'язку з реструктуризацією бізнесу було виконано розгортання служби каталогів Active Directory для центрального офісу та 50 московських та регіональних магазинів. Служба каталогів забезпечила централізоване ураження всіх ресурсів підприємства, а також аутентифікацію та авторизацію всіх користувачів.
У рамках комплексного проекту зі створення ІТ-інфраструктури підприємства, компанія ЛанКей виконала розгортання домену Active Directory для керуючої компанії та трьох регіональних підрозділів. Для кожної філії було створено окремий сайт, у кожному сайті було розгорнуто по 2 контролери домену. Також було розгорнуто служби сертифікації. Усі послуги були розгорнуті на віртуальних машинах під управлінням Microsoft Hyper-V. Якість роботи компанії ЛанКей була відзначена відгуком.
У рамках комплексного проекту створення корпоративної інформаційної системи, було проведено розгортання служби каталогів Active Directory на базі Windows Server 2008 R2. Система була розгорнута з використанням технології віртуалізації серверів під керуванням Microsoft Hyper-V. Служба каталогів забезпечила єдину автентифікацію та авторизацію всіх співробітників лікарні, а також забезпечила функціонування таких додатків, як Exchange, TMG, SQL та ін.



Розгортання служби каталогів Active Directory на базі Windows Server 2008 R2. З метою скорочення витрат інсталяція проведена в системі віртуалізації серверів базі Microsoft Hyper-V.
У рамках комплексного проекту зі створення ІТ-інфраструктури підприємства було розгорнуто службу каталогів на базі Windows Server 2008 R2. Усі контролери домену розгорнули з використанням системи віртуалізації серверів Microsoft Hyper-V. Якість роботи підтверджено отриманим від замовника відгуком.


У найкоротші терміни відновлено працездатність служби каталогів Active Directory у критичній для бізнесу ситуації. Фахівці "ЛанКей" буквально за кілька годин відновили працездатність кореневого домену та написали інструкцію щодо відновлення реплікації 80 філіальних підрозділів. За оперативність та якість роботи від замовника було отримано відгук.
У рамках комплексного проекту створення ІТ-інфраструктури було розгорнуто домен Active Directory на базі Windows Server 2008 R2. Працездатність служби каталогів була забезпечена за допомогою п'яти контролерів домену, розгорнутих на кластері віртуальних машин. Резервне копіювання служби каталогів було реалізовано за допомогою Microsoft Data Protection Manager 2010. Якість роботи підтверджено відгуком.

У рамках комплексного проекту з побудови корпоративної інформаційної системи виконано розгортання служби єдиного каталогу Active Directory на базі Windows Server 2008. ІТ-інфраструктура була побудована із застосуванням віртуалізації Hyper-V. Після завершення проекту було укладено договір щодо подальшого обслуговування інформаційної системи. Якість роботи підтверджено відгуком.
Нафтогазові технології У рамках комплексного проекту створення ІТ-інфраструктури, виконано розгортання єдиного каталогу Active Directory на базі Windows Server 2008 R2. Проект було виконано за 1 місяць. Після завершення проекту було укладено договір на подальше обслуговування системи. Якість роботи підтверджено відгуком.
Виконано розгортання Active Directory на базі Windows Server 2008 у рамках проекту з впровадження Exchange Server 2007.
Здійснено реорганізацію служби каталогів Active Directory на базі Windows Server 2003 перед впровадженням Exchange Server 2007. Якість роботи підтверджено відгуком.
Здійснено розгортання служби каталогів Active Directory на базі Windows Server 2003 R2. Після завершення проекту було укладено договір подальше обслуговування системи. Якість роботи підтверджено відгуком.

Здійснено розгортання Active Directory на базі Windows Server 2003. Після завершення проекту було укладено договори на подальший супровід системи.

Active Directory – служба каталогів корпорації Microsoft для ОС сімейства Windows NT.

Дана служба дозволяє адміністраторам використання групових політик для забезпечення однаковості налаштувань користувача робочого середовища, установки ПЗ, оновлень та ін.

У чому полягає суть роботи Active Directory і які завдання вона вирішує? Читайте далі.

Принципи організації однорангових та багаторангових мереж

Але виникає інша проблема, що якщо користувач user2 на PC2 вирішить змінити свій пароль? Тоді, якщо користувач user1 змінить пароль облікового запису, доступ user2 на РС1 до ресурсу буде неможливим.

Ще один приклад: у нас є 20 робочих станцій з 20 обліковими записами, яким ми хочемо надати доступ до якогось , для цього ми повинні створити 20 облікових записів на файловому сервері і надати доступ до необхідного ресурсу.

А якщо їх буде не 20, а 200?

Як ви розумієте адміністрування мережі при такому підході перетворюється на відмінне пекло.

Тому підхід з використанням робочих груп підходить для невеликих офісних мережз кількістю ПК трохи більше 10 одиниць.

За наявності в сітці більше 10 робочих станцій раціонально виправданим стає підхід, при якому одному вузлу мережі делегують права виконання аутентифікації та авторизації.

Цим вузлом і виступає контролер домену Active Directory.

Контролер домену

Контролер зберігає базу даних облікових записів, тобто. він зберігає облік і для РС1 і для РС2.

Тепер усі облікові записи прописуються один раз на контролері, а потреба в локальних облікових записах втрачає сенс.

Тепер, коли користувач заходить на ПК, вводячи свій логін і пароль, ці дані передаються в закритому вигляді на контролер домену, який виконує процедури автентифікації та авторизації.

Після цього контролер видає користувачеві, що здійснив вхід, щось на кшталт паспорта, з яким він надалі працює в мережі і який він пред'являє на запит інших комп'ютерів сітки, серверів до ресурсів яких він хоче підключитися.

Важливо! Контролер домену - це комп'ютер із піднятою службою Active Directory, який керує доступом користувачів до ресурсів мережі. Він зберігає ресурси (наприклад, принтери, папки із спільним доступом), служби (наприклад, електронна пошта), людей (облікові записи користувачів та груп користувачів), комп'ютери (облікові записи комп'ютерів).

Число таких збережених ресурсів може досягати мільйонів об'єктів.

Як контролер домену можуть виступати такі версії MS Windows: Windows Server 2000/2003/2008/2012 крім редакцій Web-Edition.

Контролер домену, крім того, що є центром автентифікації мережі, також є центром керування всіма комп'ютерами.

Відразу після увімкнення комп'ютер починає звертатися до контролера домену, задовго до появи вікна автентифікації.

Таким чином, виконується аутентифікація не тільки користувача, що вводить логін та пароль, а й аутентифікація клієнтського комп'ютера.

Встановлення Active Directory

Розглянемо приклад інсталяції Active Directory на Windows Server 2008 R2. Отже для встановлення ролі Active Directory, заходимо до «Server Manager»:

Додаємо роль "Add Roles":

Вибираємо роль Active Directory Domain Services:

І приступаємо до встановлення:

Після чого отримуємо вікно повідомлення про встановлену роль:

Після встановлення ролі контролера домену, приступимо до встановлення самого контролера.

Натискаємо «Пуск» у полі пошуку програм вводимо назву майстра DCPromo, запускаємо його та ставимо галочку для розширених налаштувань установки:

Тиснемо «Next» із запропонованих варіантів вибираємо створення нового домену та лісу.

Вводимо ім'я домену, наприклад example.net.

Пишемо NetBIOS ім'я домену, без зони:

Вибираємо функціональний рівень нашого домену:

Зважаючи на особливості функціонування контролера домену, встановлюємо також DNS-сервер .

Чим допоможе Active Directoryспеціалістам?

наведу невеликий список "смак", які можна отримати розгорнувши Active Directory:

  • єдина база реєстрації користувачів, яка зберігається централізовано однією чи кількох серверах; таким чином, при появі нового співробітника в офісі вам потрібно буде лише завести йому обліковий запис на сервері та вказати, на які робочі станції він зможе отримувати доступ;
  • оскільки всі ресурси домену індексуються, це дає можливість простого та швидкого пошуку для користувачів; наприклад, якщо потрібно знайти кольоровий принтер у відділі;
  • сукупність застосування дозволів NTFS, групових політик та делегування управління дозволить вам тонко налаштувати та розподілити права між учасниками домену;
  • профілі користувачів, що переміщуються, дають можливість зберігати важливу інформацію та налаштування конфігурації на сервері; фактично, якщо користувач, що володіє переміщуваним профілем у домені, сяде працювати за інший комп'ютер і введе свої ім'я користувача та пароль, він побачить свій робочий стіл зі звичними налаштуваннями;
  • за допомогою групових політик ви можете змінювати налаштування операційних систем користувачів, від дозволу користувачеві встановлювати шпалери на робочому столі до налаштувань безпеки, а також розповсюджувати по мережі програмне забезпеченнянаприклад, Volume Shadow Copy client тощо;
  • багато програм (проксі-сервери, сервери баз даних та ін.) не тільки виробництва Microsoft на сьогоднішній день навчилися використовувати доменну автентифікацію, таким чином, вам не доведеться створювати ще одну базу даних користувачів, а можна буде використовувати вже існуючу;
  • Використання Remote Installation Services полегшує встановлення систем на робочі місця, але, у свою чергу, працює тільки при впровадженій службі каталогів.

І це далеко не повний перелік можливостей, але про це пізніше. Зараз я постараюся розповім саму логіку побудови Active Directory, але знову варто з'ясувати з чого з чого зроблені наші хлопчики будується Active Directory- це Домени, Дерева, Ліси, Організаційні одиниці, Групи користувачів та комп'ютерів.

Домени -Це основна логічна одиниця побудови. Порівняно з робочими групами домени AD– це групи безпеки, які мають єдину базуреєстрації, тоді як робочі групи – це лише логічне об'єднання машин. AD використовує для іменування та служби пошуку DNS ( Domain Name Server – сервер імен домену), а не WINS ( Windows Internet Name Service – сервіс імен Internet), як це було ранніх версіях NT. Таким чином, імена комп'ютерів у домені мають вигляд, наприклад buh.work.com, де buh – ім'я комп'ютера в домені work.com (хоча це не завжди так).

У робочих групах використовують NetBIOS-імена. Для розміщення доменної структури ADможливе використання DNS-сервера не компанії Microsoft. Але він повинен бути сумісним з BIND 8.1.2 або вище та підтримувати записи SRV(), а також протокол динамічної реєстрації (RFC 2136). Кожен домен має хоча б один контролер домену, на якому розташована центральна база даних.

ДереваЦе багатодомні структури. Коренем такої структури є головний домен, якого ви створюєте дочірні. Фактично Active Directory використовує ієрархічну системупобудови, аналогічну структурі доменів у DNS.

Якщо ми маємо домен work.com (домен першого рівня) і створюємо для нього два дочірні домени first.work.com та second.work.com (тут first та second – це домени другого рівня, а не комп'ютер у домені, як у випадку , описаному вище), то в результаті отримаємо дерево доменів.

Дерева як логічна побудова використовуються, коли вам потрібно розділити філії компанії, наприклад, за географічними ознаками або з якихось інших організаційних міркувань.

ADдопомагає автоматично створювати довірчі стосунки між кожним доменом та його дочірніми доменами.

Таким чином створення домену first.work.com веде до автоматичної організації двосторонніх довірчих відносин між батьківським work.com і дочірнім first.work.com (аналогічно і для second.work.com). Тому з батьківського домену можуть застосовуватись дозволи для дочірнього, і навпаки. Неважко припустити, що для дочірніх доменів існуватимуть довірчі відносини.

Ще одна властивість довірчих відносин – транзитивність. Отримуємо – для домену net.first.work.com створюються довірчі стосунки з доменом work.com.

Ліс -Так само як і дерева це багатодомні структури. Але ліс– це об'єднання дерев, які мають різні кореневі домени.

Припустимо, ви вирішили мати кілька доменів з іменами work.com та home.net і створити для них дочірні домени, але через те, що tld (top level domain) не у вашому управлінні, у цьому випадку ви можете організувати ліс, обравши один із доменів першого рівня кореневим. Вся краса створення лісу в цьому випадку – двосторонні довірчі відносини між двома цими доменами та їх дочірніми доменами.

Однак при роботі з лісами та деревами необхідно пам'ятати таке:

  • не можна додати до дерева вже існуючий домен
  • не можна включити до лісу вже існуюче дерево
  • якщо домени розміщені в лісі, їх неможливо перемістити в інший ліс
  • не можна видалити домен, що має дочірні домени

Організаційні одиниці -впринципі можна назвати субдоменами. дозволяють групувати в домені облікові записи користувачів, групи користувачів, комп'ютери, ресурси, що приділяються, принтери та інші OU (Організаційні одиниці). Практична користь від їх застосування полягає у можливості делегування прав адміністрування цих одиниць.

Просто кажучи, можна призначити адміністратора в домені, який зможе керувати OU, але не мати прав для адміністрування всього домену.

Важливою особливістю OU на відміну груп є можливість застосування до них групових політик. "А чому не можна розбити вихідний домен на кілька доменів замість використання OU?" - Запитайте ви.

Багато фахівців радять мати якомога один домен. Причина цього – децентралізація адміністрування під час створення додаткового доменуадміністратори кожного такого домену отримують необмежений контроль (нагадаю, що при делегуванні прав адміністраторам OU можна обмежувати їх функціонал).

На додаток для створення нового домену (навіть дочірнього) потрібен буде ще один контролер. Якщо ж у вас є два відокремлені підрозділи, з'єднані повільним каналом зв'язку, можуть виникнути проблеми з реплікацією. У цьому випадку доречнішим буде мати два домени.

Також існує ще один нюанс застосування групових політик: політики, в яких визначено налаштування паролів та блокування облікових записів, можуть застосовуватися тільки для доменів. Для OU ці опції політик ігноруються.

Сайти -Це спосіб фізичного поділу служби каталогів. За визначенням сайт – це група комп'ютерів, з'єднаних швидкими каналамипередачі даних.

Якщо ви маєте кілька філій у різних кінцях країни, з'єднаних низькошвидкісними лініями зв'язку, то для кожної філії ви можете створити свій сайт. Робиться це підвищення надійності реплікації каталогу.

Таке розбиття AD не впливає на принципи логічної побудови, тому як сайт може містити кілька доменів, так і навпаки, домен може містити кілька сайтів. Але така топологія служби каталогів таїть у собі каверзу. Як правило, для зв'язку з філіями використовується Інтернет – дуже небезпечне середовище. Багато компаній використовують засоби захисту, наприклад брандмауери. Служба каталогів у своїй роботі використовує близько півтора десятка портів і служб, відкриття яких для проходження трафіку AD через брандмауер фактично виставить її «назовні». Вирішенням проблеми є використання технології тунелювання, а також наявність у кожному сайті контролера домену для прискорення обробки запитів клієнтів AD.

Подано логіку вкладеності складових служби каталогів. Очевидно, що ліс містить два дерева доменів, у яких кореневий домен дерева, своєю чергою, може містити OU і групи об'єктів, і навіть мати дочірні домени (у разі їх у одному). Дочірні домени також можуть містити групи об'єктів та OU і мати дочірні домени (на малюнку їх немає). І так далі. Нагадаю, що OU можуть містити OU, об'єкти та групи об'єктів, а групи можуть містити інші групи.

Групи користувачів та комп'ютерів -використовуються для адміністративних цілей і мають такий самий сенс, як і при використанні на локальних машинах у мережі. На відміну від OU, до груп не можна застосовувати групові політики, але їм можна делегувати управління. У рамках схеми Active Directory виділяють два види груп: групи безпеки (застосовуються для розмежування прав доступу до об'єктів мережі) та групи розповсюдження (в основному застосовуються для розсилки) поштових повідомлень, наприклад, в сервері Microsoft Exchange Server).

Вони поділяються по області дії:

  • універсальні групиможуть включати користувачів в рамках лісу, а також інші універсальні групи або глобальні групибудь-якого домену в лісі
  • глобальні групи доменуможуть включати користувачів домену та інші глобальні групи цього ж домену
  • локальні групи доменувикористовуються для розмежування прав доступу, можуть включати користувачів домену, а також універсальні групи і глобальні групи будь-якого домену в лісі
  • локальні групи комп'ютерів– групи, які містять SAM (security account manager) локальної машини. Область їх поширення обмежується тільки даною машиною, але вони можуть включати локальні групи домену, в якому знаходиться комп'ютер, а також універсальні і глобальні групи свого домену або іншого, якому вони довіряють. Наприклад, ви можете включити користувача з доменної локальної групи Users до групи Administrators локальної машини, тим самим надавши йому права адміністратора, але тільки для цього комп'ютера

Основним компонентом доменних служб у кожній організації є принципали безпеки ( Оригінальна назва- Security Principal), які надають користувачів, групи або комп'ютери, яким потрібний доступ до певних ресурсів у мережі. Саме таким об'єктам як принципалам безпеки можна надавати дозволи доступу до ресурсів у мережі, причому кожному принципалу під час створення об'єкта надається унікальний ідентифікатор безпеки (SID), який складається з двох частин. Ідентифікатор безпеки SIDназивається числове уявлення, що унікально ідентифікує принципал безпеки. Перша частина такого ідентифікатора є ідентифікатор домену. Зважаючи на те, що принципали безпеки розташовані в одному домені, всім таким об'єктам присвоюється той самий ідентифікатор домену. Другою частиною SID є відносний ідентифікатор (RID), який використовується для унікальної ідентифікації принципала безпеки стосовно відомства, яке видає SID.

Незважаючи на те, що планування та розгортання інфраструктури доменних служб у більшості організацій виконується лише один раз і більшість об'єктів зміни вносяться дуже рідко, до важливого виключення з цього правила можна віднести принципали безпеки, які необхідно періодично додавати, змінювати, а також видаляти. Одним із основних компонента ідентифікації є облікові записи користувачів. По суті, облікові записи користувачів є фізичними об'єктами, в основному людьми, які є співробітниками вашої організації, але бувають винятки, коли облікові записи користувачів створюються для деяких додатків як служби. Облікові записи користувачів грають найважливішу рольв адмініструванні підприємства. До таких ролей можна віднести:

  • Посвідчення особи користувачів, оскільки створений обліковий запис дозволяє входити на комп'ютери та домени саме з тими даними, справжність яких перевіряє домен;
  • Дозвіл доступу до ресурсів домену, які призначаються користувачеві надання доступу до доменним ресурсам виходячи з явних дозволів.

Об'єкти облікових записів користувачів можна віднести до найпоширеніших об'єктів у Active Directory. Саме користувачам облікових записів адміністратори зобов'язані приділяти особливу увагу, тому що користувачам властиво приходити працювати в організацію, переміщатися між відділами та офісами, одружуватися, виходити заміж, розлучатися і навіть звільнятися з компанії. Такі об'єкти являють собою набір атрибутів, причому тільки один обліковий запис може містити понад 250 різних атрибутів, що в кілька разів перевищує кількість атрибутів на робочих станціях і комп'ютерів, що працюють під операційною системою Linux. Під час створення облікового запису користувача створюється обмежений набір атрибутів, а вже потім ви можете додавати такі облікові дані користувача, як організаційні відомості, адреси проживання користувачів, телефонні номери та багато іншого. Тому важливо звернути увагу на те, що одні атрибути є. обов'язковими, а решта - опціональними. У цій статті я розповім про ключових методахстворення облікових записів користувача, про деякі опціональні атрибути, а також будуть описані засоби, що дозволяють автоматизувати рутинні дії, пов'язані зі створенням облікових записів користувачів.

Створення користувачів за допомогою оснащення «Active Directory – користувачі та комп'ютери»

У переважній більшості випадків системні адміністраторидля створення основних принципалів безпеки воліють використовувати оснастку, яка додається до папки «Адміністрація»відразу після встановлення ролі «Домові служби Active Directory»та підвищення сервера до контролера домену. Цей метод є найбільш зручним, оскільки для створення принципалів безпеки використовується графічний інтерфейс користувача і майстер створення облікових записів користувача дуже простий у застосуванні. До нестачі даного методуможна віднести той момент, що при створенні облікового запису користувача ви не можете відразу встановити більшість атрибутів, і вам доведеться додавати необхідні атрибути шляхом редагування облікового запису. Щоб створити обліковий запис користувача, виконайте такі дії:

  • В полі «Ім'я»Введіть ім'я користувача;
  • В полі «Ініціали»введіть його ініціали (найчастіше ініціали не використовуються);
  • В полі «Прізвище»введіть прізвище користувача, що створюється;
  • Поле "Повне ім'я"використовується для створення таких атрибутів об'єкта, що створюється, як основне ім'я (Common Name) CNта відображення властивостей імені. Це поле має бути унікальним у всьому домені, і заповнюється автоматично, а змінювати його варто лише у разі потреби;
  • Поле Ім'я входу користувачає обов'язковим і призначений для імені входу користувача до домену. Тут вам потрібно ввести ім'я користувача і з списку вибрати суфікс UPN, який буде розташований після символу @;
  • Поле "Ім'я входу користувача (Пред-Windows 2000)"призначено для імені входу для систем попередніх операційній системі Windows 2000. Останніми рокамив організаціях все рідше зустрічаються власники таких систем, але поле обов'язкове, оскільки деяке програмне забезпечення для ідентифікації користувачів використовує саме цей атрибут;

Після заповнення всіх потрібних полів натисніть на кнопку «Далі»:

Мал. 2. Діалогове вікно створення облікового запису користувача

  • На наступній сторінці майстра створення облікового запису користувача потрібно ввести початковий паролькористувача у полі «Пароль»і підтвердити його в полі «Підтвердження». Крім цього, ви можете вибрати атрибут, що вказує на те, що при першому вході користувача в систему користувач повинен самостійно змінити пароль для свого облікового запису. Найкраще використовувати цю опцію у зв'язку з локальними політиками безпеки «Політика паролів»що дозволить створювати надійні паролі для ваших користувачів. Також, встановивши прапорець на опції "Заборонити зміну пароля користувачем"ви надаєте користувачеві свій пароль та забороняєте його змінювати. При виборі опції Термін дії пароля не обмеженийу пароля облікового запису користувача термін дії пароля ніколи не закінчиться і не буде потреби в його періодичній зміні. Якщо ви встановите прапорець «Вимкнути обліковий запис», то цей обліковий запис буде не призначений для подальшої роботиі користувач з таким обліковим записом не зможе виконати вхід до його включення. Ця опція, як і більшість атрибутів, буде розглянута в наступному розділі цієї статті. Після вибору всіх атрибутів натисніть кнопку «Далі». Ця сторінка майстра зображена на наступній ілюстрації:

    • Мал. 3. Створення пароля для створюваного облікового запису

  • На останній сторінці майстра ви побачите зведену інформацію про введені вами параметри. Якщо інформація внесена коректно, натисніть кнопку «Готово»для створення облікового запису користувача і завершення роботи майстра.

    • Створення користувачів на основі шаблонів

    Зазвичай, в організаціях існує безліч підрозділів або відділів, до яких входять ваші користувачі. У цих підрозділах користувачі мають схожі властивості (наприклад, назва відділу, посади, номер кабінету тощо). Для найбільш ефективного управлінняобліковими записами користувачів з одного підрозділу, наприклад, використовуючи групові політики, доцільно їх створювати всередині домену у спеціальних підрозділах (інакше кажучи, контейнерах) на основі шаблонів. Шаблоном облікового записуназивається обліковий запис, що вперше з'явився ще за часів операційних систем Windows NT, в якому заздалегідь заповнені загальні для всіх користувачів атрибути. Щоб створити шаблон облікового запису користувача, виконайте такі дії:

    • Загальні. Ця вкладка призначена для заповнення індивідуальних атрибутів користувача. До цих атрибутів належать ім'я користувача та його прізвище, короткий опис для облікового запису, контактний телефон користувача, номер кімнати, його електронна скринька, а також веб-сайт. Зважаючи на те, що дана інформація є індивідуальною для кожного окремого користувачадані заповнені на цій вкладці не копіюються;
    • Адреса. На поточній вкладці ви можете заповнити поштову скриньку, місто, область, поштовий індекс та країну, де мешкають користувачі, які будуть створені на підставі цього шаблону. Так як у кожного користувача назви вулиць зазвичай не збігаються, дані з цього поля не копіюються;
    • Обліковий запис. У цій вкладці ви можете вказати час входу користувача, комп'ютери, на які зможуть входити користувачі, такі параметри облікових записів як зберігання паролів, типи шифрування тощо, а також термін дії облікового запису;
    • Профіль. Поточна вкладка дозволяє вказати шлях до профілю, сценарій входу, локальний шлях до домашньої папки, а також мережні диски, на яких буде розміщено домашня папкаоблікового запису;
    • Організація. На цій вкладці ви можете вказати посаду співробітників, відділ, де вони працюють, назву організації, а також ім'я керівника відділу;
    • Члени груп. Тут вказується основна група та членство у групах.

    Це основні вкладки, які заповнюються під час створення шаблонів облікового запису. Крім цих шести вкладок, ви можете заповнювати інформацію в 13 вкладках. Більшість із цих вкладок будуть розглянуті в наступних статтях цього циклу.

  • На наступному кроці створюється обліковий запис користувача, що базується на поточному шаблоні. Для цього натисніть правою кнопкою миші на шаблоні облікового запису та з контекстного менювиберіть команду «Копіювати»;
  • У діалоговому вікні «Копіювати об'єкт - Користувач»введіть ім'я, прізвище та ім'я входу користувача. На наступній сторінці введіть пароль та підтвердження, а також зніміть прапорець з опції «Вимкнути обліковий запис». Завершіть роботу майстра;

    • Мал. 5. Діалогове вікно копіювання облікового запису користувача

  • Після створення облікового запису перейдіть до властивостей створеного облікового запису та перегляньте властивості, які ви додаєте в шаблон. Налаштовані атрибути будуть скопійовані в новий обліковий запис.

    • Створення користувачів засобами командного рядка

    Як і в більшості випадків, в операційній системі Windows є утиліти командного рядка з аналогічними функціями графічного інтерфейсу користувача оснащення «Active Directory – користувачі та комп'ютери». Такі команди називаються командами DS, оскільки вони починаються з літер DS. Для створення принципів безпеки використовується команда Dsadd. Після команди вказуються модифікатори, які визначають тип і ім'я DN об'єкта. У разі створення облікових записів користувачів вам потрібно вказати модифікатор userщо є типом об'єкта. Після типу об'єкта необхідно ввести ім'я DN самого об'єкта. DN (Distinguished Name) об'єкта є результуючим набором, що містить відмінне ім'я. За DN зазвичай вказують ім'я користувача UPN або ім'я входу попередніх версій Windows. Якщо в імені DN є пробіли, то таке ім'я потрібно укласти в лапки. Синтаксис команди наступний:

    Dsadd user DN_ім'я –samid ім'я_облікового_запису –UPN_ім'я –pwd пароль –додаткові параметри

    З цією командою можна використовувати 41 параметр. Розглянемо найпоширеніші їх:

    -samid- Ім'я облікового запису користувача;

    -upn- Ім'я входу користувача перед-Windows 2000;

    -fn- Ім'я користувача, яке заповнюється в графічному інтерфейсі в полі «Ім'я»;

    -mi- Ініціал користувача;

    -ln– прізвище користувача, що вказується в полі «Прізвище» майстра створення облікового запису користувача;

    -Display- Вказує повне ім'якористувача, яке автоматично генерується в інтерфейсі користувача;

    -empid– код працівника, який створюється для користувача;

    -pwd- Параметр, що визначає пароль користувача. У разі, якщо ви вкажете символ зірочки (*), вам буде запропоновано ввести пароль користувача у захищеному від перегляду режимі;

    -desc– короткий опис для облікового запису користувача;

    -memberof- Параметр, що визначає членство користувача в одній або декількох групах;

    -office- місцезнаходження офісу, де працює користувач. У властивостях облікового запису цей параметр можна знайти у вкладці «Організація»;

    -tel- Номер контактного телефону поточного користувача;

    -email– адреса електронної поштикористувача, який можна знайти у вкладці «Загальні»;

    -hometel– параметр, який вказує номер домашнього телефону користувача;

    -mobile- Телефонний номер мобільного користувача;

    -fax- Номер факсимільного апарату, який використовує поточний користувач;

    -title- Посада користувача в даній організації;

    -dept– цей параметр дозволяє вказати найменування відділу, у якому працює цей користувач;

    -company- Назва компанії, в якій працює користувач, що створюється;

    -hmdir– основний каталог користувача, в якому будуть розміщені його документи;

    -hmdrv– шлях до мережного диска, на якому буде розміщено домашню папку облікового запису

    -profile- Шлях профілю користувача;

    -mustchpwd- даний параметр вказує на те, що при наступному вході до системи користувач має змінити свій пароль;

    -canchpwd– параметр, який визначає, чи користувач повинен змінювати свій пароль. Якщо значення параметра вказано "yes", У користувача буде можливість зміни пароля;

    -reversiblepwd– поточний параметр визначає зберігання пароля користувача із застосуванням зворотного шифрування;

    -pwdneverexpires– параметр, що вказує на те, що термін дії пароля ніколи не закінчиться. У всіх цих чотирьох параметрах значеннями можуть виступати тільки "yes"або "no";

    -acctexpires– параметр, який визначає, через скільки днів термін дії облікового запису закінчиться. Позитивне значення є кількість днів, через яке обліковий запис закінчиться, а негативне означає, що термін дії вже закінчено;

    -disabled– вказує, що обліковий запис вже вимкнено. Значеннями для цього параметра також є "yes"або "no";

    -q- Вказівка тихого режимудля обробки команди.

    Приклад використання:

    Dsadd user “cn=Олексій Смирнов,OU=Маркетинг,OU=Користувачі,DC=testdomain,DC=com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Олексій -ln Смирнов -display “Олексій Смирнов” - tel "743-49-62" -email [email protected]-dept Маркетинг -company TestDomain -title Маркетолог -hmdir \dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd yes -disabled no

    Мал. 6. Створення облікового запису користувача засобами утиліти Dsadd

    Створення користувачів за допомогою CSVDE

    Ще одна утиліта командного рядка CSVDE дозволяє імпортувати або експортувати об'єкти Active Direcoty, представлені у вигляді cvd-файлу – текстового файлу з роздільними комами, які можна створювати за допомогою табличного процесора Microsoft Excelабо найпростішого текстового редактора Блокнот. У цьому файлі кожен об'єкт є одним рядком і повинен містити атрибути, які перераховані в першому рядку. Варто звернути увагу на те, що за допомогою цієї команди ви не можете імпортувати паролі користувача, тобто, відразу після завершення операції імпорту облікові записи користувача будуть відключені. Приклад такого файлу наступний:

    Мал. 7. Подання CSV-файлу

    Синтаксис команди наступний:

    Csvde -i -f filename.csv -k

    • -i. Параметр, який відповідає режиму імпорту. Якщо ви не вкажіть цей параметр, ця команда буде використовувати за промовчанням режим експорту;
    • -f
    • -k
    • -v
    • -j
    • -u. Параметр, який дозволяє використовувати режим Юнікод.

    Приклад використання команди:

    Csvde -i -f d:\testdomainusers.csv -k

    Мал. 8. Імпорт облікових записів користувачів із файлу CSV

    Імпорт користувачів засобами LDIFDE

    Утиліта командного рядка Ldifde також дозволяє імпортувати або експортувати об'єкти Active Directory, використовуючи файловий формат LDIF (Lightweight Directory Access Protocol Data Interchange File). Цей файловий формат складається з блоку рядків, які утворюють конкретну операцію. На відміну від файлів CSV, у цьому файловому форматікожен окремий рядок являє собою набір атрибутів, після якого слідує двокрапка і саме значення поточного атрибута. Так само як і в CSV файлі, першим рядком може бути атрибут DN. За ним слідує рядок changeType, який вказує тип операції (add, change або delete). Щоб навчитися розбиратися в цьому файловому форматі, вам потрібно вивчити принаймні ключові атрибути принципів безпеки. Приклад надано нижче:

    Мал. 9. Приклад LDF файлу

    Синтаксис команди наступний:

    Ldifde -i -f filename.csv -k

    • -i. Параметр, який відповідає режиму імпорту. Якщо ви не вкажете цей параметр, ця команда буде використовувати за промовчанням режим експорту;
    • -f. Параметр, що ідентифікує ім'я файлу, призначене для імпорту чи експорту;
    • -k. Параметр, призначений для продовження імпорту, пропускаючи всі можливі помилки;
    • -v. Параметр, за допомогою якого ви можете вивести докладну інформацію;
    • -j. Параметр, відповідальний розташування файлу журналу;
    • -d. Параметр, що вказує на корінь пошуку LDAP;
    • -f. Параметр для фільтра пошуку LDAP;
    • -p. Є область або глибину пошуку;
    • -l. Призначений для вказівки списку атрибутів із роздільними комами, який буде включений в експорт результуючих об'єктів;

    Створення користувачів за допомогою VBScript

    VBScript є одним із найпотужніших інструментів, призначених для автоматизації адміністративних завдань. Цей інструментдозволяє створювати сценарії, призначені для автоматизування більшості дій, які можуть виконуватися за допомогою інтерфейсу користувача. Сценарії VBScript є текстовими файлами, які зазвичай користувачі можуть редагувати за допомогою звичайних текстових редакторів(наприклад, Блокнот). А для виконання сценаріїв потрібно двічі клацнути мишею по значку самого сценарію, який відкриється із застосуванням команди Wscript. Для того, щоб створити обліковий запис користувача в VBScript не існує певної команди, тому вам спочатку потрібно підключитися до контейнера, потім використовувати бібліотеку адаптерів Active Directory Services Interface (ADSI) за допомогою інструкції Get-Object, де виконується рядок запиту LDAP, що надає собою монікер протоколу LDAP:// з DN ім'ям об'єкта. Наприклад, Set objOU=GetObject(“LDAP://OU=Маркетинг,OU=Користувачі,dc=testdomain,dc=com”). Другий рядок коду активує метод Create підрозділу для створення об'єкта конкретного класу з конкретним іменем, наприклад, Set objUser=objOU.Create(“user”,”CN= Юрій Соловйов”). Як третій рядок вказується метод Put, де потрібно вказати найменування атрибута та його значення. Останній рядок даного сценаріюпідтверджує зроблені зміни, тобто objUser.SetInfo().

    Приклад використання:

    Set objOU=GetObject(“LDAP://OU=Маркетинг,OU=Користувачі,dc=testdomain,dc=com” Set objUser=objOU.Create(“user”,”CN= Юрій Соловйов”) objUser.Put “sAMAccountName” ,”Yuriy.Soloviev” objUser.Put “UserPrincipalName” [email protected]” objUser.Put “givenName”,”Юрій” objUser.Put “sn”Соловйов” objUser.SetInfo()

    Створення користувачів за допомогою PowerShell

    В операційній системі Windows Server 2008 R2 з'явилася можливість керувати об'єктами Active Directory засобами Windows PowerShell. Середовище PowerShell вважається найпотужнішою оболонкою командного рядка, розробленою на основі. операційними системами. PowerShell включає понад 150 інструментів командного рядка, званих командлетами, які надають можливість управління комп'ютерами підприємства з командного рядка. Ця оболонка є компонентом операційної системи.

    Для створення нового користувача в домені Active Directory використовується командлет New-ADUser, більшість значень властивостей якого можна додавати за допомогою параметрів командлету. Для відображення імені LDAP використовується параметр Path. Цей параметр визначає контейнер або підрозділ (OU) для нового користувача. Якщо параметр Path не заданий, командлет створює об'єкт користувача в контейнері за промовчанням для об'єктів користувача в цьому домені, тобто в контейнері Users. Щоб вказати пароль, використовується параметр –AccountPassword зі значенням (Read-Host -AsSecureString "Пароль для вашого облікового запису"). Також варто обов'язково звернути увагу на те, що значенням параметра – Country є саме код країни або регіону обраної користувачем мови. Синтаксис командлета наступний:

    New-ADUser [-Name] [-AccountExpirationDate ] [-AccountNotDelegated ] [-AccountPassword ] [-AllowReversiblePasswordEncryption ] [-AuthType (Negotiate | Basic)] [-CannotChangePassword ] [-Certificates ] [-ChangePasswordAtLogon ] [-City ] [-Company ] [-Country ] [-Credential ] [-Department ] [-Description ] [-DisplayName ] [-Division ] [-EmailAddress ] [-EmployeeID ] [-EmployeeNumber ] [-Enabled ] [-Fax ] [-GivenName ] [-HomeDirectory ] [-HomeDrive ] [-HomePage ] [-HomePhone ] [-Initials ] [-Instance ] [-LogonWorkstations ] [-Manager ] [-MobilePhone ] [-Office ] [-OfficePhone ] [-Organization ] [-OtherAttributes ] [-OtherName ] [-PassThru ] [-PasswordNeverExpires ] [-PasswordNotRequired ] [-Path ] [-POBox ] [-PostalCode ] [-ProfilePath ] [-SamAccountName ] [-ScriptPath ] [-Server ] [-ServicePrincipalNames ] [-SmartcardLogonRequired ] [-State ] [-StreetAddress ] [-Surname ] [-Title ] [-TrustedForDelegation ] [-Type ] [-UserPrincipalName ] [-Confirm] [-WhatIf] [ ]

    Як видно з даного синтаксису, немає сенсу описувати всі параметри, оскільки вони ідентичні атрибутам принципала безпеки і не потребують пояснення. Подивимося на приклад використання:

    New-ADUser -SamAccountName "Evgeniy.Romanov" -Name "Євген Романов" -GivenName "Євген" -Surname "Романов" -DisplayName "Євген Романов" -Path "OU=Маркетинг,OU=Користувачі,DC=testdomain,DC=com -CannotChangePassword $false -ChangePasswordAtLogon $true -City "Херсон" -State "Херсон" -Country UA -Department "Маркетинг" -Title "Маркетолог" -UserPrincipalName "!} [email protected]"-EmailAddress" [email protected]-Enabled $true -AccountPassword (Read-Host -AsSecureString "AccountPassword")

    Мал. 10. Створення облікового запису користувача засобами Windows PowerShell

    Висновок

    У цій статті ви дізналися про принцип безпеки і про те, яку роль відіграють облікові записи користувачів в доменному середовищі. Докладно було розглянуто основні сценарії створення облікових записів користувача в домені Active Directory. Ви навчилися створювати облікові записи користувача за допомогою оснащення «Active Directory – користувачі та комп'ютери», використовуючи шаблони, утиліти командного рядка Dsadd, CSVDE та LDIFDE. Також ви дізналися про метод створення облікових записів користувача за допомогою мови сценаріїв VBScript і оболонки командної рядки Windows PowerShell.

    Технологія Active Directory (AD) є службою каталогів, створеною корпорацією Microsoft. Служба каталогів містить дані в організованому форматі та надає до них впорядкований доступ. Служба Active Directory – це не винахід компанії Microsoft, а реалізація існуючої індустріальної моделі (а саме X.500), комунікаційного протоколу (LDAP – Lightweight Directory Access Protocol) та технології пошуку даних (служби DNS).

    Вивчення Active Directory слід розпочати зі знайомства з метою, поставленою перед цією технологією. У загальному плані каталогом вважається контейнер зберігання даних.

    Телефонний довідник є наочним прикладом служби каталогів, оскільки містить набір даних та надає можливість отримання необхідних відомостей з каталогу. Довідник містить різні записи, кожен з яких має власне значення, наприклад, імена/прізвища абонентів, їх домашню адресу та, власне, номер телефону. У розширеному довіднику записи групуються за географічним розташуванням, типом або обома ознаками. Отже, кожному за географічного розташування може бути сформована ієрархія типів записів. Крім того, телефонний оператортакож підходить для визначення служби каталогів, оскільки має доступ до даних. Отже, якщо надати запит на отримання будь-яких даних каталогу, оператор видасть необхідну відповідь на отриманий запит.

    Служба каталогів Active Directory призначена для зберігання інформації про всіх мережевих ресурсах. Клієнти мають можливість надсилати запити Active Directory для отримання інформації про будь-який об'єкт мережі. Список можливостей Active Directory містить такі функції.

    • Безпечне сховище даних. Кожен об'єкт у Active Directory має власний списоккерування доступом (ACL), який містить список ресурсів, що отримали право доступу до об'єкта, а також визначений рівень доступу до об'єкта.
    • Багатофункціональний механізм запитів, заснований на створеному Active Directory глобальномукаталог (GC). Всі клієнти, які підтримують Active Directory, можуть звертатися до цього каталогу.
    • Реплікація даних каталогу на всі контролери домену спрощує доступ до інформації, підвищує ступінь її доступності та збільшує надійність усієї служби.
    • Концепція модульного розширення дозволяє додавати нові типи об'єктів або доповнювати існуючі об'єкти. Наприклад, до об'єкта "користувач" можна додати атрибут "зарплата".
    • Мережева взаємодія з використанням кількох протоколів. Служба Active Directory заснована на моделі X.500, завдяки чому підтримуються різні мережеві протоколи, наприклад, LDAP 2, LDAP 3 та HTTP.
    • Для реалізації служби імен контролерів доменів та пошуку мережевих адресзамість NetBIOS використовується служба DNS.

    Інформація каталогу розподіляється по всьому домену, що дозволяє уникнути надмірного дублювання даних.

    Хоча Active Directory розподіляє інформацію каталогу за різними сховищами, користувачі мають можливість запросити Active Directory на отримання інформації про інші домени. Глобальний каталогмістить відомості про всі об'єкти лісу підприємства, допомагаючи здійснювати пошук даних у межах лісу.

    При запуску утиліти DCPROMO (програми підвищення звичайного сервера до контролера домену) на комп'ютері під керуванням WindowsДля створення нового домену утиліта створює домен на сервері DNS. Потім клієнт зв'язується із сервером DNS для отримання інформації про свій домен. Сервер DNSнадає інформацію не лише про домен, а й про найближчого контролера домену. Клієнтська система, у свою чергу, підключається до бази даних домену Active Directory на найближчому контролері домену з метою знаходження необхідних об'єктів (принтерів, файлових серверів, користувачів, груп, організаційних підрозділів), що входять до домену. Оскільки кожен контролер домену зберігає посилання на інші домени в дереві, клієнт може шукати у всьому дереві домену.

    Різновид Active Directory, який перераховує всі об'єкти в лісі доменів, доступний для тих випадків, коли необхідно знайти дані за межами дерева доменів клієнта. Подібна версія називається глобальний каталог. Глобальний каталог можна зберігати на будь-якому контролері домену у лісі AD.

    Глобальний каталог надає швидкий доступ до кожного об'єкта, який знаходиться в лісі доменів, але містить лише деякі параметри об'єктів. Для отримання всіх атрибутів слід звернутися до служби Active Directory цільового домену (контролеру домену, що цікавить). Глобальний каталог можна настроїти на надання необхідних властивостей об'єктів.

    Для спрощення процесу створення об'єктів Active Directory контролер домену містить копію та ієрархію класів для всього лісу. Служба Active Directory містить структури класів у схемі, в яку можна додати нові класи.

    Схема (Schema)- це частина конфігураційного простору імен Windows, що підтримується всіма контролерами доменів у лісі. Конфігураційний простір імен Windows складається з кількох структурних елементів, таких як фізичне розташування, сайти Windows та підмережі.

    Сайт (site)міститься всередині лісу і може поєднувати комп'ютери з будь-якого домену, причому всі комп'ютери сайту повинні мати швидкі та надійні мережеві з'єднання для резервування даних контролера домену.

    Підмережа (subnet)- це група IP-адрес, виділена сайту. Підмережі дозволяють прискорити реплікацію даних Active Directory між контролерами доменів.



    ПОХОДЖЕННЯ СТАТТІ