Отже, продовжуємо тему Active Directory.
У попередній статті ми побіжно розглянули процес установки компонентів Active Directory. далі пропоную розглянути основні процедури управління даною системою каталогів.
Дисклеймер: в даній темі я не дуже сильний, тому, прохання не сприймати все нижче описане як догму, це скоріше для ознайомлення. Коротше кажучи - сильно не штовхайте :)
Для кращого розуміння принципів управління Active Directory. розглянемо зовсім трохи теорії.
Active Directory має деревоподібну ієрархічну структуру, основу якої складають об'єкти. З 3-х типів об'єктів, нас, в першу чергу, цікавлять облікові записи користувачів і комп'ютерів.
Даний тип об'єктів включає кілька, так званих класів (за термінологію не ручаюсь): Organizational Unit (OU. Контейнер, підрозділ), Group (група), Computer (комп'ютер), User (користувач).
Деякі з них (наприклад OU або група) можуть містити в собі інші об'єкти.
Кожен з об'єктів має своє унікальне ім'я і набір правил і дозволів (групових політик).
Відповідно, адміністрування на даному рівні зводиться до управління деревом об'єктів (OU. Група, користувач, комп'ютер) і управління їх політиками. Основні GUI інструменти для управління AD. знаходяться в Start -> Administrative Tools:
Сьогодні більше поговоримо про управління об'єктами, а про групових політиках я постараюся розповісти в наступний четвер.
Для управління об'єктами, особисто я використовую стару добру оснащення «Active Directory Users and Computers«.
Тут по-замовчуванню ми побачимо в корені стандартні контейнери, які створюються під час установки:
У контейнері «Users» бачимо єдиного активного користувача «Administrator» і стандартні групи, у кожній з яких свої політики та дозволи:
Що б додати нового адміністратора, нам знадобиться створити користувача і додати його в групу «Domain Admins«.
Щоб не переливати з пустого в порожнє, розглянемо кілька банальних прикладів.
У своєму свіжоспеченому Active Directory я створив новий контейнер (Organizational Unit) з назвою TestOU.
Для невеликі інфраструктурні проекти необов'язково створювати нові OU. можна все складати в дефолтні контейнери в корені, але коли ви захочете розділити велику інфраструктуру, це стає просто необхідно.
Так ось, створимо в нашому OU нового користувача домену (правою кнопкою по OU -> New -> User).
У віконці, що з'явилося заповнюємо ім'я / прізвище, ім'я користувача для входу в систему:
Задаємо початковий пароль і відзначаємо галочками необхідні політики:
У моєму випадку, при першому вході в систему, система попросить користувача в добровільно-примусовому порядку задати новий пароль.
Перевіряємо і натискаємо фініш:
Якщо подивитися на властивості користувача домену, то можна побачити там багато цікавих налаштувань:
Тепер додамо користувача в раніше створену групу. Правою по користувачеві -> Add to Group:
пишемо ім'я групи і натискаємо «Check Names» що б перевірити чи все правильно ми написали, потім натискаємо OK.
Далі я створив ще одну групу з ім'ям TestGroup_NEW:
і додав її в групу TestGroup, таким чином, у нас вийшла група в групі :)
Заглянувши в властивості групи, ми крім усього іншого, можемо подивитися хто в ній складається:
Загалом, все це і так інтуїтивно зрозуміло і просто, але для повноти картини зайвим не буде.
Ну з користувачами і групами, в принципі все ясно, тепер подивимося на адміністрування облікових записів комп'ютерів.
Облікові записи комп'ютерів можуть бути створені як заздалегідь вручну, так і автоматично, при введенні комп'ютера в домен.
Зі створенням вручну все трохи по-іншому, розглянемо приклад, коли це може бути корисно.
Наприклад, нам потрібно надати право на введення в домен комп'ютера користувачем, який не є адміністратором домену (у мене часто таке трапляється).
Або, наприклад, якщо при виконанні автоматизованого клонування віртуальних машин, комп'ютери в домен вводяться за допомогою скриптів і повинні складатися в певний контейнер, можна створити готові облікові записи в потрібному контейнері і надати право на введення їх в домен, конкретного користувача.
Розглянемо процес створення облікового запису комп'ютера на прикладі з картинками. Правою кнопкою на потрібному контейнері -> New -> Computer:
Вибираємо користувача, який буде власником учеткі:
Натискаємо ОК-ОК і отримуємо готову обліковий запис комп'ютера.
Якщо заглянемо в її властивості, то побачимо що вона чиста, тому що не містить інформації про вашому комп'ютері:
Облікові записи, групи і контейнери можна переміщати між іншими контейнерами, при цьому, потрібно пам'ятати, що на дочірні об'єкти поширюються доменні політики батьківських об'єктів.
На зображенні бачимо як воно виглядає. За функціоналом багато не скажу, але на перший погляд - це той же самий «Users and Computers» в трохи іншій оболонці. Можливо (навіть швидше за все), він буде більш зручний, для повсякденного використання, справа звички.
Крім стандартного функціоналу «Active Directory Users and Computers» типу, створення / видалення / зміна користувачів / груп / підрозділів / комп'ютерів, тут реалізований просунутий функціонал фільтрів для зручного пошуку об'єктів і управління ними.
Ще один, найбільш хардкорних і, напевно, найбільш функціональний спосіб адміністрування Active Directory - «Active Directory Module for Windows PowerShell«. Скажу чесно - ні разу не користувався, вистачало функціональності графічних утиліт. Командний рядок це добре, але боюся, що доведеться витратити багато часу на вивчення її функціоналу, тут вже на любителя :)
На сьогодні все. Далі буде ;)