Deci, vom continua subiectul Active Directory.
În articolul precedent, am analizat pe scurt procesul de instalare a componentelor Active Directory. În continuare vă recomand să luați în considerare procedurile de bază pentru gestionarea acestui sistem de catalogare.
Disclaimer: în acest subiect nu sunt foarte puternic, prin urmare, vă rugăm să nu luați toate cele de mai jos ca o dogma, este mai mult pentru introducere. Pe scurt - nu lovi cu piciorul foarte mult :)
Pentru o mai bună înțelegere a principiilor managementului Active Directory. ia în considerare o mică teorie.
Active Directory are o structură ierarhică de tip copac, bazată pe obiecte. Dintre cele 3 tipuri de obiecte, suntem în primul rând interesați de conturile de utilizatori și de computere.
Acest tip de facilități include o serie de așa-numitele clase (cu terminologia nu poate răspunde): (. Diviziune container OU) Unitate organizatorică, Grupul este (grup), calculator (PC), Utilizator (utilizator).
Unele dintre ele (de exemplu, OU sau grup) pot conține alte obiecte.
Fiecare dintre obiecte are propriul său nume unic și un set de reguli și permisiuni (politici de grup).
În consecință, administrarea la acest nivel este redusă la gestionarea arborelui obiect (grupul OU, utilizator, calculator) și gestionarea politicilor sale. Instrumente GUI de bază pentru administrarea AD. sunt în Start -> Instrumente de administrare:
Astăzi vom vorbi mai multe despre gestionarea obiectelor și voi încerca să vă spun despre politica de grup joia viitoare.
Pentru gestionarea obiectelor, eu personal folosesc vechiul bun snap-in "Active Directory Users and Computers".
Aici, în mod implicit, vom vedea containerele standard din rădăcină create în timpul instalării:
În containerul "Utilizatori" vedem singurul utilizator "Administrator" activ și grupurile standard, fiecare având propriile politici și permisiuni:
Pentru a adăuga un nou administrator, trebuie să creați un utilizator și să îl adăugați la grupul "Administratori de domenii".
Pentru a nu se turna de la gol la gol, vom lua în considerare câteva exemple obișnuite.
În directorul meu Active Directory nou creat, am creat un nou container (Unitatea organizațională) numit TestOU.
Pentru o mică infrastructură, nu este necesară crearea unor UI noi. puteți pune totul în containere implicite în rădăcină, dar când doriți să partajați o infrastructură mare, devine pur și simplu necesar.
Deci, hai să creăm în OU un utilizator nou de domeniu (faceți clic dreapta pe OU -> New -> User).
În fereastra afișată se completează numele / prenumele, numele de conectare al utilizatorului:
Setați parola inițială și bifați politicile necesare:
În cazul meu, prima dată când vă conectați, sistemul va cere utilizatorului să specifice o parolă nouă în mod voluntar și obligatoriu.
Verificați și faceți clic pe Finalizare:
Dacă vă uitați la proprietățile unui utilizator de domeniu, puteți vedea o mulțime de setări interesante:
Acum, adăugați utilizatorul la grupul creat anterior. Dreptul utilizatorului -> Adăugați la grup:
scrieți numele grupului și faceți clic pe "Verificați nume" pentru a verifica dacă am scris corect totul, apoi faceți clic pe OK.
Apoi, am creat un alt grup numit TestGroup_NEW:
și l-am adăugat grupului TestGroup, așa că am primit un grup în grup :)
Privind în proprietățile grupului, printre altele, vedem cine este:
În general, toate acestea sunt intuitiv clare și simple, dar pentru exhaustivitate, imaginea nu va fi superfluă.
Ei bine, cu utilizatorii și grupurile, în principiu, totul este clar, acum să ne uităm la administrarea conturilor de calculatoare.
Conturile de computer pot fi create fie manual, fie automat, atunci când un computer este introdus într-un domeniu.
Odată cu crearea manualului, totul este puțin diferit, luați în considerare un exemplu în care acest lucru poate fi util.
De exemplu, trebuie să acordăm dreptul de a introduce în domeniul computerului un utilizator care nu este administrator de domeniu (de multe ori se întâmplă acest lucru).
Sau, de exemplu, atunci când efectuează o donare automate mașini virtuale, calculatoarele din domeniu sunt introduse folosind script-uri și trebuie să fie pliate într-un container particular, puteți crea un înregistrări contabile complete în containere corespunzătoare și acordă dreptul de a impune domeniului lor de la un anumit utilizator.
Luați în considerare procesul de creare a unui cont de computer în exemplu cu imagini. Faceți clic dreapta pe recipientul dorit -> Nou -> Computer:
Alegeți utilizatorul care va fi proprietarul contului:
Faceți clic pe OK-OK și obțineți contul computerului pregătit.
Dacă ne uităm la proprietățile sale, vom vedea că este curat, pentru că nu conține informații despre un anumit computer:
Conturile, grupurile și containerele pot fi mutate între alte containere, dar rețineți că politicile de domeniu ale obiectelor părinte sunt distribuite obiectelor copil.
În imagine vedem cum arată. Pe funcțional, nu voi mai spune, dar la prima vedere este același "Utilizatori și computere" într-o coajă ușor diferită. Poate (chiar și cel mai probabil), va fi mai convenabil, pentru uzul cotidian, o chestiune de obișnuință.
Pe lângă funcțiile standard "Utilizatori și computere Active Directory", crearea / ștergerea / modificarea utilizatorilor / grupurilor / unităților / computerelor, există o funcție avansată de filtrare pentru căutarea și gestionarea ușoară a obiectelor.
O altă modalitate, cea mai funcțională și probabil cea mai funcțională de a administra Active Directory, este modulul Active Directory pentru Windows PowerShell. Sincer, nu l-am folosit niciodată, mi-a lipsit funcționalitatea utilităților grafice. Linia de comandă este bună, dar mă tem că va dura mult timp pentru a-și învăța funcționalitatea, aici pe ventilator :)
Asta e tot pentru ziua de azi. Pentru a continua;)